Linux管理・運用の基本

Linuxシステムにおけるログは、トラブルシューティングやシステムの状況を把握する上で非常に重要な情報源です。従来のLinuxシステムでは、ログは/var/logディレクトリ内のテキストファイルに保存されており、catやgrepなどのコマンドを使って参照していました。しかし、現代のLinuxシステムで主流となっているsystemdは、journaldという仕組みでログを管理します（これをジャーナルログと呼びます）。この記事では、このジャーナルログを操作するためのjournalctlコマンドの高度な使い方に焦点を当て、効率的なログ管理術を解説します。

• journalctlコマンドを使った基本的なログ表示とフィルタリング方法
• 期間を指定してログを絞り込む方法
• リアルタイムでログを監視する方法
• ジャーナルログの保存場所や容量設定、ログローテーションの仕組み

journalctlコマンドは、オプションを指定せずに実行すると、システム起動時からのすべてのジャーナルログを最新のものから表示します。ログはlessコマンドと同じように、スペースキーで次のページへ、↑↓キーでスクロールできます。

フィルタリングで必要な情報だけを抽出する

journalctlの真価は、強力なフィルタリング機能にあります。特定の条件に合致するログだけを絞り込むことで、迅速に問題の原因を特定できます。

💡 特定のサービスのログをエラーレベルに絞り込む

たとえば、Webサーバーのhttpdサービスで発生しているエラーだけを確認したい場合は、以下のように-uと-pオプションを組み合わせて使用します。

journalctl -u httpd.service -p err

-pオプションで指定する優先度には、数値と文字列の両方が利用できます。

💡 最新のログや、古い順で表示したい

トラブル対応時には、最新のログだけをすぐに確認したいことがよくあります。

# 最新100件のみ表示
journalctl -n 100

# 新しい順（逆順）で表示
journalctl -r

💡 前回の起動時からのログを表示したい

システムを再起動した後に前回発生したエラーを確認したい場合は、-b -1オプションを使用します。-1は1つ前のブートを表し、-2は2つ前、と続きます。ブートIDを確認したい場合は、journalctl --list-bootsを実行します。

# 前回の起動時からのログを表示
journalctl -b -1

# 全ブートIDとタイムスタンプを確認
journalctl --list-boots
-2 c54c8d... 2025-08-20 10:00:00 JST—2025-08-20 12:00:00 JST
-1 9e24a7... 2025-08-20 14:30:00 JST—2025-08-21 09:00:00 JST
 0 5f0b1a... 2025-08-21 11:15:00 JST—now

ログの確認では、「いつ」発生したかが非常に重要です。journalctlは、柔軟な期間指定オプションを提供しています。

💡 昨日の朝9時から今日までログを確認する

時間指定は非常に柔軟です。「yesterday」「today」「tomorrow」のようなキーワードや、「-1h」（1時間前）、「-30min」（30分前）のような相対的な時間指定も可能です。特定のサービスに対して期間を指定してログを表示することもできます。

# Webサーバーの昨日のログを確認
journalctl -u httpd.service --since "yesterday"

ログは常に新しいものが追加されます。サーバーの状況をリアルタイムで監視したい場合は、tail -fコマンドのようにjournalctlを連続的に実行できます。

journalctl -f: リアルタイム監視

-f (follow) オプションを使用すると、新しいログエントリが追加されるたびに、そのログを標準出力に表示し続けます。特定のサービスのログを監視したい場合は、-uオプションと組み合わせます。

# すべてのログをリアルタイムで監視
journalctl -f

# sshdサービスのログをリアルタイムで監視
journalctl -u sshd.service -f

💡 他のコマンドと組み合わせてさらに便利に

journalctlの出力を他のコマンドにパイプして、さらに絞り込むことも可能です。

# ログの中から「error」という文字列を含む行だけを抽出
journalctl | grep "error"

journalctl -o: 出力形式の変更

ログの出力形式をカスタマイズしたい場合は、-o (output) オプションを使用します。これにより、ログを人間が読みやすい形式だけでなく、機械が処理しやすいJSON形式などで出力できます。json形式は、ログ収集基盤（例：FluentdやLogstash）との連携に非常に便利です。また、-o verboseを使うと、フィルタリングに利用できるすべてのフィールドを確認できます。

ジャーナルログは、/run/log/journal（再起動で消える）または/var/log/journal（永続化される）に保存されます。デフォルトでは、/var/log/journalディレクトリが存在しない場合、ログは再起動時に消去されます。永続的に保存したい場合は、このディレクトリを作成します。

# 永続化ディレクトリの作成
sudo mkdir -p /var/log/journal

# systemdにディレクトリの存在を認識させる
sudo systemd-tmpfiles --create --prefix /var/log/journal

⚠️ セキュリティ上の注意点 ジャーナルログは通常、rootユーザーとsystemd-journalグループに所属するユーザーのみが読み取れます。一般ユーザーでログを読みたい場合は、以下のコマンドでグループに追加します。

sudo usermod -aG systemd-journal ユーザー名

ログローテーションと容量制限

ジャーナルログのディスク使用量を管理するには、/etc/systemd/journald.confファイルで設定を変更します。

[Journal]
# ジャーナルログが使用するディスク容量の最大値を指定
SystemMaxUse=100M
# 単一のログファイルの最大サイズ
SystemMaxFileSize=10M

# 揮発的なログ（/run/log/journal）の最大容量
RuntimeMaxUse=50M

• SystemMaxUse: 永続的なジャーナルログが使用するディスク容量の最大値を指定します。この値を超えると、古いログから削除されます。
• SystemMaxFileSize: 1つのジャーナルファイルが持つことができる最大サイズを指定します。
• RuntimeMaxUse: /run/log/journalに保存される一時的なログの最大容量を指定します。

設定を変更した後は、sudo systemctl restart systemd-journaldでサービスを再起動して変更を反映させます。

ログの明示的なクリア

手動でジャーナルログを削除したい場合は、--vacuum-sizeまたは--vacuum-timeオプションを使用します。--vacuum-sizeは指定した容量になるまで、--vacuum-timeは指定した期間より古いログを削除します。

# 合計容量が50Mになるまでログを削除
sudo journalctl --vacuum-size=50M

# 1週間以上前のログを削除
sudo journalctl --vacuum-time=1w

この記事では、Linuxシステムにおけるログ管理の中心であるjournalctlコマンドの高度な活用方法を解説しました。

journalctlは、ただログを表示するだけでなく、サービス名や期間、優先度といった多様な条件でフィルタリングできる強力なツールです。また、リアルタイムでの監視や、ログの永続化、容量制限、さらにはセキュリティ設定まで、幅広い管理機能を提供します。これらの機能を使いこなすことで、Linuxシステムのトラブルシューティングや運用効率が格段に向上します。

この記事が、ジャーナルログの理解と活用の一助となれば幸いです。ご覧いただきありがとうございました。

次回は、サーバー多重化や仮想化環境に必須となる、ネットワークの拡張機能について深掘りします。Bonding、VLAN、ブリッジといったネットワーク詳細設定の基本から応用までを徹底的に解説する予定です。