DevOps 지식 허브
DevOps 지식 허브

journalctl 살펴보기: 리눅스 시스템 로그 가이드

systemd의 `journalctl` 유틸리티를 마스터하여 리눅스 시스템 로그를 효과적으로 보고, 필터링하고, 분석하는 방법을 알아보세요. 이 가이드는 실시간 모니터링, 시간 기반 쿼리, 서비스 유닛 로그 격리, 그리고 강력한 문제 해결을 위한 저널 디스크 사용량 관리에 필수적인 명령어를 다룹니다.

34 조회수

journalctl 파헤치기: Linux 시스템 로그 가이드

journalctl 유틸리티는 systemd 저널링 시스템에서 관리하는 구조화된 로그를 보고 분석하는 중앙 명령입니다. 많은 Linux 배포판에서 현대적인 로깅 표준으로 자리 잡은 journalctl을 이해하는 것은 효과적인 시스템 관리, 서비스 관리, 특히 문제 해결에 매우 중요합니다.

/var/log에서 찾을 수 있는 기존 텍스트 기반 로그 파일과 달리, systemd는 로그를 이진, 인덱싱된 형식으로 캡처합니다. 이를 통해 시간, 서비스, 부팅 ID 등을 기반으로 강력한 쿼리가 가능합니다. 이 가이드에서는 시스템의 과거 및 실시간 이벤트를 최대한 활용하는 데 필요한 필수 명령을 안내합니다.

systemd 저널 이해하기

명령으로 들어가기 전에 journalctl이 무엇을 관리하는지 아는 것이 도움이 됩니다. systemd 저널은 커널, 서비스(유닛), 애플리케이션, 심지어 시스템 시작 프로세스에서도 로그를 수집합니다. 이러한 로그는 일반적으로 구조화된 이진 파일에 저장되어 기존의 평면 파일보다 훨씬 빠르게 검색하고 필터링할 수 있습니다.

주요 개념:

  • 영속성: 로그는 재부팅 후에도 영구적으로 저장되도록 (영구 모드) 또는 메모리에만 유지되도록 (휘발성 모드) 구성할 수 있습니다.
  • 구조화된 데이터: 로그에는 journalctl이 필터링에 활용하는 메타데이터(유닛 이름, 우선순위, 부팅 ID 등)가 포함됩니다.

필수 보기 명령

가장 일반적인 필요는 단순히 로그를 보는 것입니다. 시스템 기록을 탐색하는 데 필요한 기본 명령은 다음과 같습니다.

1. 모든 로그 보기

시스템이 로그 기록을 시작한 이후 저널이 수집한 모든 항목을 보려면 아무 인수 없이 명령을 사용합니다.

journalctl

기본적으로 이 출력은 less와 같은 도구를 사용하여 페이지 매김되므로 화살표 키 또는 스페이스바로 위아래로 이동할 수 있습니다.

2. 실시간 로그 보기 (추적)

tail -f를 사용하는 것과 유사하게, 저널에 기록되는 로그를 모니터링할 수 있습니다. 특정 서비스를 시작하거나 디버깅할 때 매우 유용합니다.

journalctl -f

실시간 보기를 종료하려면 Ctrl+C를 누르십시오.

3. 줄 수로 출력 제한

최근 항목만 필요한 경우 -n 플래그를 사용하여 줄 수를 지정합니다.

# 마지막 20개 로그 항목 표시
journalctl -n 20

4. 특정 시간 이후 로그 보기

시간별 필터링은 journalctl의 가장 강력한 기능 중 하나입니다. 상대적 또는 절대적 타임스탬프를 사용할 수 있습니다.

상대 시간 예시:

명령 설명
journalctl --since "1 hour ago" 지난 1시간 동안의 로그.
journalctl --since "yesterday" 이전 달력일 시작부터의 로그.
journalctl --since "2023-10-26 14:30:00" 특정 날짜 및 시간 이후의 로그.

팁: --since--until을 결합하여 정확한 범위를 지정할 수 있습니다. 예: journalctl --since "2023-10-26" --until "2023-10-27 00:00:00".

유닛, 서비스 또는 프로세스별 로그 필터링

journalctl의 가장 중요한 용도 중 하나는 특정 systemd 유닛(서비스)과 관련된 메시지를 격리하는 것입니다.

서비스 이름별 필터링

-u (또는 --unit) 플래그 뒤에 서비스 이름(예: sshd.service, nginx.service)을 사용합니다.

# Apache 웹 서버 서비스에 대한 로그만 보기
journalctl -u apache2.service

# Docker 서비스에 대한 로그 추적
journalctl -u docker.service -f

부팅 ID별 필터링

systemd는 다른 시스템 부팅 간의 로그를 추적합니다. 이전 시작의 로그를 보려면 먼저 사용 가능한 부팅 목록을 표시합니다.

journalctl --list-boots

그러면 인덱싱된 목록(예: 현재 부팅의 경우 -1, -2, 0)이 출력됩니다. 그런 다음 인덱스 또는 전체 부팅 ID를 사용할 수 있습니다.

# 바로 이전 부팅의 로그 표시
journalctl -b -1

# 특정 부팅 ID의 로그 표시 (위에 나열된 긴 ID 사용)
journalctl -b a1b2c3d4e5f6...

커널 메시지별 필터링

커널에서 발생한 메시지만 보려면 ( dmesg 사용과 유사):

journalctl -k
# 또는 동등하게:
journalctl -b -k

고급 필터링 및 출력 제어

효과적인 문제 해결에는 종종 필터를 결합하고 출력 형식을 제어해야 합니다.

1. 우선순위 수준별 필터링

로그에는 우선순위 수준(0=emerg, 7=debug)이 할당됩니다. -p (또는 --priority) 플래그를 사용하여 특정 심각도 이상의 메시지를 볼 수 있습니다.

우선순위 수준 숫자 값
err (오류) 3
warning 4
notice 5
info 6 
# SSH 서비스에서 발생한 모든 오류, 심각, 비상 메시지 표시
journalctl -u sshd.service -p err

2. 특정 텍스트 검색

표준 필터링이 충분하지 않을 때 grep으로 출력을 파이프할 수 있지만, journalctl에는 텍스트 검색을 위한 내장 메커니즘이 있어 구조화된 데이터에 더 효율적입니다.

# 'failed'라는 단어가 포함된 모든 로그 줄 검색
journalctl | grep failed

# 또는 --grep 옵션을 사용하여 간단하게 필터링 (사용 가능한 경우/선호하는 경우)
journalctl --grep=failed

3. 출력 형식 변경

스크립팅하거나 로그를 다른 도구로 이동하려면 출력 형식을 변경하는 것이 필수적입니다. 기본값은 pretty (사람이 읽을 수 있는 형식)입니다.

  • --output=json: 항목을 구조화된 JSON 객체로 출력합니다.
  • --output=short: pretty와 유사하지만 색상이 덜합니다.
  • --output=export: 보관을 위해 원시 저널 항목을 출력합니다.
# 최근 로그를 JSON으로 출력
journalctl -n 5 --output=json

4. 필터 결합

필터는 곱셈적으로 쌓입니다. 지난 10분 동안 기록된 Nginx의 모든 오류를 보려면:

journalctl -u nginx.service --since "10 minutes ago" -p err

저널 크기 및 영속성 관리

시간이 지남에 따라 저널은 특히 영구 로깅으로 구성된 경우 상당한 디스크 공간을 소비할 수 있습니다. 시스템 관리자는 크기를 관리해야 합니다.

현재 사용량 확인

현재 저널 파일이 차지하는 디스크 공간을 보려면:

journalctl --disk-usage

오래된 로그 정리

시간 또는 총 크기를 기반으로 로그를 정리할 수 있습니다.

시간별 정리:

# 마지막 7일간의 로그만 유지
journalctl --vacuum-time=7d

크기별 정리:

# 총 로그 크기를 최대 500MB로 줄이기
journalctl --vacuum-size=500M

경고: 로그, 특히 이전 부팅(-b)의 로그를 삭제할 때는 주의하십시오. 중요한 진단 정보가 조기에 제거되지 않도록 하십시오.

결론

journalctl은 로깅을 단순한 텍스트 파일을 넘어서는 강력하고 유연한 도구입니다. 시간 기반 필터링(--since, --until), 유닛 격리(-u), 실시간 모니터링(-f)을 마스터하면 시스템 상태 모니터링에 대한 세분화된 제어를 얻을 수 있습니다. 서비스 상태를 확인하든 지난주 커널 패닉을 조사하든 journalctl은 현대 Linux 시스템 저널에 대한 기본 인터페이스입니다.