T
linux logging monitoring devops sysadmin

高度な Linux ロギングとモニタリングガイド:Journald から Prometheus まで

現代の Linux ロギングとモニタリングの包括的なガイド。rsyslog 設定ジェネレーター、journalctl フィルタービルダー、systemd タイマー、Prometheus PromQL、および ELK スタックをマスターしましょう。

2026-04-12

高度な Linux ロギングとモニタリングガイド

現代のインフラストラクチャ環境において、可視性はすべてです。単一の VPS を管理している場合でも、複数のリージョンにわたるマイクロサービスのフリートを管理している場合でも、ログとメトリクスを収集、分析し、それに基づいて行動する能力が、安定したシステムと混乱したシステムを分ける境界線となります。クラウドのバックボーンである Linux は、オブザーバビリティのための豊かなツールエコシステムを提供しています。

このガイドでは、従来の syslog ベースのロギングから現代の分散型モニタリングシステムへの移行について探求します。ローカルログ管理から、Grafana や Elasticsearch を使用した高度な視覚化までを網羅します。

1. ローカルログ管理:Syslog と Journald

すべての Linux システムは膨大な量のデータを生成します。歴史的に、これは syslogd によって処理され、その後 rsyslogsyslog-ng のようなより高度なバージョンへと進化しました。

Rsyslog 設定ジェネレーター

rsyslog は、そのモジュール性と、TCP/UDP を介してリモートサーバーを含むさまざまな宛先にログをルーティングできる能力により、依然として強力なツールです。典型的な rsyslog 設定ジェネレーター は、以下を定義するのに役立ちます。

  • 入力 (Inputs): ログのソース(例:ローカルファイル、ネットワークポート)。
  • フィルター (Filters): どのログを処理するか(例:auth.log のみ、または特定のアプリケーションからのエラーのみ)。
  • アクション (Actions): どこに送信するか(例:ローカルファイル、リモートの Graylog サーバー、または Kafka トピック)。

基本的な rsyslog ルールの例:

if $programname == 'my-app' then /var/log/my-app.log
& stop

Journalctl フィルタービルダー

systemd の登場により、journald が主要なログコレクターとなりました。ログをテキスト形式で保存する syslog とは異なり、journald はバイナリ形式を使用するため、高速なクエリとメタデータの付与が可能になります。

journalctl フィルタービルダー は、これらのログをナビゲートするために不可欠です。パフォーマンスを向上させるために、journalctlgrep にパイプするのではなく、ネイティブフラグを使用する必要があります。

  • journalctl -u nginx.service --since "1 hour ago": ユニットと時間でフィルター。
  • journalctl -p err..emerg: 優先度レベルでフィルター。
  • journalctl _PID=1234: 特定のプロセス ID でフィルター。

2. タスクの自動化:Systemd タイマージェネレーター

モニタリングはログだけではありません。プロアクティブなチェックも重要です。Prometheus が登場する前は、Cron がありました。今日では、systemd タイマー があります。

なぜ Systemd タイマーなのか?

Cron はシンプルですが、systemd タイマーは以下を提供します。

  • 依存関係: ネットワークが稼働している場合にのみジョブを実行するようにします。
  • リソース制限: cgroups を使用してバックグラウンドタスクの CPU/RAM を制限します。
  • ロギング: すべての出力は journald によって自動的にキャプチャされます。

systemd タイマージェネレーター は、.service ファイルと .timer ファイルの作成を支援します。例えば、毎日午前 3 時にバックアップスクリプトを実行するには:

# backup.timer
[Timer]
OnCalendar=*-*-* 03:00:00
Persistent=true

[Install]
WantedBy=timers.target

3. メトリクスと時系列データ:Prometheus と Grafana

ログが「何が」起こったかを伝えるのに対し、メトリクスは「なぜ」それが時間の経過とともに起こっているのかを伝えます。Prometheus は、クラウドネイティブモニタリングの事実上の標準となっています。

Prometheus クエリビルダー (PromQL)

Prometheus は、関数型クエリ言語である PromQL を使用します。Prometheus クエリビルダー は、複雑な集計を構築するために非常に価値があります。

  • リクエストレート: rate(http_requests_total[5m])
  • 99 パーセンタイルレイテンシ: histogram_quantile(0.99, sum by (le) (rate(http_request_duration_seconds_bucket[10m])))

Grafana ダッシュボードテンプレート

メトリクスは視覚化されて初めて有用になります。Grafana は、美しいリアルタイムダッシュボードを作成するための業界リーダーです。Grafana ダッシュボードテンプレート を使用すると、標準的なビューを迅速にデプロイできます。

  • Node Exporter (システムヘルス:CPU、RAM、ディスク)。
  • Nginx/Apache トラフィック。
  • Kubernetes クラスターヘルス。

Alertmanager ルーティングツリー可視化ツール

アラートはモニタリングの「アクション」部分です。Prometheus はアラートを Alertmanager に送信し、Alertmanager は重複排除、グループ化を行い、Slack、Eメール、または PagerDuty にルーティングします。 ルーティングツリー可視化ツール は、ラベルに基づいてアラートがどのように転送されるかを理解するのに役立ちます。例えば、クリティカルなアラートは PagerDuty に送信され、警告は Slack チャネルに送信されます。

4. 中央集権ログ:ELK スタック

大規模な環境では、ローカルログだけでは不十分です。数百台のサーバーからのログを単一の検索可能なインデックスに集約する必要があります。ここで ELK スタック (Elasticsearch, Logstash, Kibana) の出番です。

Elasticsearch クエリビルダー (DSL)

Elasticsearch は、検索に JSON ベースの ドメイン固有言語 (DSL) を使用します。Elasticsearch クエリビルダー は、これらのネストされた JSON オブジェクトの作成を簡素化します。

{
  "query": {
    "bool": {
      "must": [
        { "match": { "status": "error" } },
        { "range": { "@timestamp": { "gte": "now-1d" } } }
      ]
    }
  }
}

Kibana クエリ構文

Kibana は Elasticsearch のユーザーインターフェースを提供します。フル DSL よりもはるかに簡潔な KQL (Kibana Query Language) をサポートしています。

  • status: 500 AND host: "prod-web-*"
  • response: [400 TO 499]

5. まとめ:オブザーバビリティパイプラインの構築

現代の Linux ロギングおよびモニタリング戦略は、以下の原則に従う必要があります。

  1. Journald への標準化: 最初の収集は systemd に任せます。
  2. Prometheus へのエクスポート: エクスポーターを使用して、システムとアプリの状態をメトリクスに変換します。
  3. ELK または Loki による中央集権化: 長期保存と分析のために、個々のサーバーからログを移動します。
  4. 視覚化とアラート: ダッシュボードには Grafana を、通知には Alertmanager を使用します。

rsyslog ジェネレーター から Prometheus クエリビルダー まで、これらのツールをマスターすることで、インフラストラクチャの透明性、予測可能性、および復元力を確保できます。

ブログに戻る