서버 로그를 확인하는 기본 방법 서버에 문제가 생겼을 때 가장 먼저 열어봐야 할 게 바로 로그입니다.
로그에는 접속 기록부터 오류 메시지, 시스템 상태 변화까지 거의 모든 게 남아 있어서, 장애 원인을 찾거나 보안 위협을 탐지할 때 출발점이 되는 작업입니다.
이 글에서는 서버 로그를 확인하는 기본적인 방법과 어떤 부분을 중점적으로 봐야 하는지 정리해봤습니다.
서버 로그란 무엇인가
서버 로그는 시스템과 애플리케이션에서 일어나는 모든 이벤트를 기록해둔 파일입니다.
크게 보면 시스템 로그, 인증 로그(로그인 기록), 웹 서버 로그, 데이터베이스 로그, 애플리케이션 오류 로그 정도로 나뉩니다.
각각 역할이 다르고, 상황에 따라 봐야 할 로그도 달라집니다.
시스템 로그 확인
리눅스 서버라면 대부분 /var/log 디렉터리 안에 로그 파일들이 모여 있습니다.
부팅 기록, 서비스 실행 상태, 커널 메시지 같은 것들이 여기에 쌓입니다.
점검 포인트
- 갑작스러운 재부팅 기록
- 서비스 중단 메시지
- 디스크 오류 메시지
서버 전체 상태를 한눈에 파악하고 싶을 때 가장 먼저 들여다보게 되는 로그입니다.
로그인 및 인증 로그 확인
보안 문제가 의심될 때는 인증 로그를 제일 먼저 확인하는 게 좋습니다.
SSH 접속 기록과 로그인 실패 내역이 저장돼 있어서 외부 공격 흔적을 찾는 데 유용합니다.
점검 포인트
- 반복적인 로그인 실패 시도
- 낯선 IP에서의 접속
- root 계정 접속 기록
무차별 대입 공격이 들어오고 있는지 여기서 바로 확인할 수 있습니다.
웹 서버 로그 확인
웹 서비스를 운영 중이라면 접근 로그와 에러 로그는 반드시 챙겨봐야 합니다.
서비스가 느려지거나 오류가 늘어날 때 원인을 찾는 실마리가 여기 있는 경우가 많습니다.
점검 포인트
- 특정 URL에 요청이 비정상적으로 몰리는 경우
- 404, 500 오류 빈도가 갑자기 늘었을 때
- 트래픽이 급증한 시간대
로그 실시간 확인 방법
장애 대응 중에는 로그를 실시간으로 보는 게 훨씬 효율적입니다.
흐름을 보면서 어디서 문제가 터지는지 빠르게 잡을 수 있거든요.
활용 방법
- 로그 파일 실시간 출력
- 특정 키워드 검색
- 날짜 기준 필터링
평소에도 주기적으로 들여다보는 습관을 들여두면 이상 징후를 훨씬 빨리 알아챌 수 있습니다.
로그 관리 및 보관 전략
로그는 내버려두면 용량이 계속 불어납니다. 자동 순환 설정을 해두지 않으면 어느 날 디스크가 꽉 차서 장애로 이어지는 상황이 생깁니다.
관리 원칙
- 로그 자동 순환 설정
- 보관 기간 정책 수립
- 보안 로그는 별도 백업
디스크 용량 문제를 막으려면 로그 관리는 처음부터 세팅해두는 게 낫습니다.
마무리
서버 로그 확인은 시스템 로그, 인증 로그, 웹 서버 로그 순서로 보는 게 기본입니다.
장애든 보안 사고든 대부분 로그에 흔적이 남아 있어서, 제대로 읽을 수 있으면 원인 파악 속도가 확연히 달라집니다.
실시간 모니터링 체계를 갖춰두고 정기적으로 로그를 들여다보는 습관을 만들어두면, 문제가 커지기 전에 먼저 잡아낼 수 있습니다.
서버를 운영한다면 로그 읽는 능력은 기본 중의 기본이라고 생각하시면 됩니다.