ログ管理の基礎|rsyslog・journalctlの使い方とLinuxログの読み方
現場実践|Linuxログ管理
ログ管理の基礎
rsyslog・journalctlの使い方と読み方
「障害が起きたけどどのログを見ればいいかわからない」——Linuxログの種類・場所・読み方・フィルタリングまで、インフラエンジニアに必要なログ管理の基礎を解説します。
💡 ログは障害調査の「タイムマシン」。ログを正しく読めるかどうかが、障害解決時間を1時間から10分に短縮する分岐点になります。
1. 主要ログファイルの場所
| ログファイル | 内容 | 対象OS |
|---|---|---|
| /var/log/messages | システム全般のログ | CentOS/RHEL |
| /var/log/syslog | システム全般のログ | Ubuntu/Debian |
| /var/log/secure | SSH認証・suコマンドのログ | CentOS/RHEL |
| /var/log/auth.log | SSH認証・suコマンドのログ | Ubuntu/Debian |
| /var/log/nginx/ | Nginxのアクセス・エラーログ | 両OS |
| /var/log/cron | Cronジョブの実行ログ | 両OS |
2. rsyslogの基礎
また、rsyslogはLinuxの標準ログ収集デーモンです。/etc/rsyslog.confで「どのファシリティ・プライオリティのメッセージをどこに書くか」を定義します。
# /etc/rsyslog.conf の例
# kern(カーネル)のwarning以上を/var/log/kernに書く
kern.warning /var/log/kern
# authのログを/var/log/secureに書く(CentOS)
auth,authpriv.* /var/log/secure3. journalctlの使い方(systemd環境)
# 全ログを新しい順に表示
journalctl -r
# sshdのログのみ表示
journalctl -u sshd
# 特定日時以降のログ
journalctl --since "2026-03-01 09:00:00"
# エラー・クリティカルのみ表示
journalctl -p err
# リアルタイムでログを追跡(tail -fと同等)
journalctl -f4. ログの検索・フィルタリング
# キーワードでフィルタリング
grep "Failed password" /var/log/secure
# 特定IPからの失敗ログを確認
grep "Failed password" /var/log/secure | grep "192.168.1."
# エラーの件数を集計
grep "error" /var/log/nginx/error.log | wc -l
# 直近100行を確認
tail -100 /var/log/messages5. ログローテーション(logrotate)
また、ログファイルが肥大化してディスクを圧迫しないよう、logrotateで定期的にローテーションします。/etc/logrotate.d/配下に設定ファイルを置きます。
📌 この記事のポイント
- 障害調査はまず/var/log/messages・secure・nginxを確認する
- journalctlはsystemd環境での標準ログ確認ツール。-u・-p・–sinceで絞り込む
- grepとパイプを組み合わせてログを効率的にフィルタリングする
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
