「サーバー運用していると、たまにsyslogって単語を見るけど、正直ピンときていない…」
「Linuxのトラブル対応のときに『ログを確認して!』って言われたけど、どこを見たらいいの?」
「そもそもsyslogって、なに?何が分かるの?」
という、サーバーの運用保守の初心者向けの記事です。
そんな疑問や不安をお持ちの方へ。この記事を読むことで、syslogの基本と、Linuxログシステムに関する重要用語や仕組みがしっかり理解できます!
普段の運用やトラブル対応時に「ここだけは押さえておきたい!」という実践的なポイントもご紹介。
1. そもそも「ログ」って何?
まずは基本から。ITの世界でいう「ログ」とは、システムやアプリケーションの動作記録のことです。
おそらく、この記事を読んでいる人は大体わかっていると思いますが、念のため😓
- いつ(日時)
- どのプログラムが
- どんな動作(イベント)をしたか
- エラーや警告はあったか
こうした情報を「ログファイル」として記録しておくことで、「何かトラブルが起きたとき」「なぜそうなったのか」を調査・分析できます。
例えば…
- サーバーが落ちた
- ユーザーがログインできない
- 怪しいアクセスがあった
こうした時に「証拠」や「ヒント」になるのがログなのです。
2. syslog(シスログ)とは?
Linuxの標準ログシステム
Linuxサーバーを使うなら、絶対に避けて通れないのが「syslog」。
「System Logging Protocol」の略で、日本語では「システムログ」と呼ばれます。
(だいたい、エンジニアの間では「シスログどうなってるか、見た?」とか言われることが多いですが、、)
ざっくり言うと、LinuxやUNIX系OSの標準的なログ管理の仕組みです。
どんな役割があるの?
- システムやアプリケーションから送られてくるログを一元管理
- ログを分類・保存・転送できる
- ログの種類ごとに保存場所や取り扱いルールを柔軟に設定できる
例えば、サーバーの「エラー」や「警告」だけを別のファイルに出力したり、
ネットワーク越しに他のサーバーへログを転送することもできます。
syslogの歴史と進化
syslogは、もともと1980年代にUNIXシステム向けに作られました。
長い歴史の中で、さまざまな改良が加えられ、現在ではLinuxやMacOS、ネットワーク機器など幅広い機器で利用されています。
最近では「rsyslog」や「syslog-ng」「journalctl(systemd-journald)」など、より高機能なsyslog互換のソフトも登場していますが、基本となる「syslogの考え方」は共通です。
3. syslogの仕組み・動作の流れ
システム全体の流れ
- ログを出力したいプログラムやサービス(例:sshd、cronなど)がsyslogにログ送信
- syslogデーモン(ログ管理プログラム)がログを受け取る
- 設定ファイル(/etc/rsyslog.confなど)に従って、保存・転送などの処理を実施
- 実際のログファイルに書き込み or ネットワーク経由で転送
代表的なsyslogデーモン
- rsyslog(アールシスログ) … 現在のLinuxで最も標準的
- syslog-ng … 高度なフィルタや拡張機能に対応
- systemd-journald … systemd採用の新しいLinuxディストリビューション向け
たいていのLinuxサーバーでは「rsyslog」が標準インストールされています。
主要な設定ファイル
/etc/rsyslog.conf… 基本設定/etc/rsyslog.d/… 個別追加設定
これらのファイルで「どんなログを、どこへ保存・転送するか」を細かく制御します。
4. syslogでよく出てくる用語の意味をやさしく解説
ファシリティ(Facility)
「どのプログラム(分野)からのログか?」を示します。
主なファシリティ例:
- auth … 認証関連(例:ログイン、sudo)
- cron … 定期実行ジョブ(cron)
- daemon … サービス全般
- kern … カーネル(OSの心臓部)
- mail … メール関連
syslogでは、これらのファシリティごとに出力先を振り分けできます。
プライオリティ(Priority)
「ログの重要度(深刻さ)」を示します。
重要度が高いほど、エラーや障害に近いものです。
主なプライオリティ例:
- emerg(緊急) … システム使用不能
- alert(警告) … 即対応が必要
- crit(重大) … 重要なエラー
- err(エラー)
- warning(警告)
- notice(注意)
- info(情報)
- debug(デバッグ情報)
例えば、「auth.crit」なら「認証に関する重大なエラー」という意味になります。
ログファイル(Log File)
syslogが管理する実際のログファイル。
代表的なものは以下の通りです。
/var/log/messages… システム全体の一般的なメッセージ/var/log/secure… 認証関連(ログイン失敗など)/var/log/maillog… メール関連/var/log/cron… cronジョブの実行記録
どのファイルに何が記録されるかは、syslogの設定によって変わります。
5. 実際にsyslogログを確認する・活用するコツ
基本的なログ確認コマンド
cat /var/log/messages
→ シンプルに全内容を表示tail -f /var/log/messages
→ 新しいログをリアルタイムで監視grep "エラー" /var/log/messages
→ 特定キーワードで絞り込み
こんなときにsyslogを活用!
サーバーの調子が悪い時
「最近サーバーが重い」「突然再起動がかかった」といった時、まずsyslogを見てみましょう。
例えば/var/log/messagesや/var/log/syslogで「error」や「fail」などのキーワードが出ていないかを確認できます。
セキュリティインシデント対応
「不正ログインを疑われるアクセスがあった」「サーバーが乗っ取られていないか心配」
そんなときは/var/log/secureや/var/log/auth.logで、不正なログインやsudo実行履歴などを追跡できます。
cronジョブの実行確認
定期的に動かしているジョブ(cron)がちゃんと動いているか心配なときは、/var/log/cronや/var/log/messagesを確認すると原因がわかる場合があります。
6. syslogの設定をちょっとだけ触ってみよう
設定例:特定のログを別ファイルに保存
例えば、「sshd(SSHログイン)」のログだけを別ファイルに記録したい場合。
/etc/rsyslog.d/sshd.conf(新規ファイルを作成)
auth,authpriv.* /var/log/sshd.log設定を追加した後、rsyslogを再起動します。
sudo systemctl restart rsyslogこれで、以降のSSHログインイベントは/var/log/sshd.logに記録されるようになります。
ネットワーク越しにsyslogサーバーへ転送
大規模なシステム運用では、ログを集中管理サーバーに送るケースも多いです。
rsyslogでは以下のような記述で転送設定が可能です。
*.* @syslog.example.com:514(@でUDP送信、@@でTCP送信)
7. 近年主流の「systemd-journald」との関係
最近のLinux(CentOS 7以降やUbuntu 16.04以降など)では、「systemd-journald」という新しいログ管理サービスが標準となっています。
- systemd-journald … バイナリ形式で高速・柔軟なログ管理
journalctlコマンド … 強力な検索・フィルタ機能
rsyslogと連携して、「従来のテキストログファイル」も維持しつつ、新しい利便性も使えます。
このあたりの違い・連携方法も今後のLinux運用では知っておきたいポイントです。
8. syslogのセキュリティ&運用上の注意点
ログローテーションを活用しよう
ログファイルは放っておくと無限に増え続けるので、「logrotate」などのツールで定期的なローテーション(古いログの整理・圧縮・削除)を設定しておきましょう。
権限管理も重要
ログには機密情報が含まれることもあるため、ファイルパーミッション(アクセス権限)はしっかり管理するのが基本です。
/var/log/secureや/var/log/auth.logなど、特に認証系ログはrootのみ読めるように
9. まとめ
syslogは、Linux運用に欠かせない「ログ管理の心臓部」。
使い方や用語の意味、設定方法を押さえておけば、トラブル対応も、日常の運用も、グッとラクになります!!。。
とは言い切れないですが少なくとも以下のことを意識するだけで、かなり初動対処は早くなると思います。
- 「ログを見る習慣」をつける
- どのファイルに何が記録されるかを押さえる
- 必要に応じて設定をカスタマイズする
この記事が、あなたのサーバー管理やトラブル対応の自信につながれば嬉しいです!
