<p>これは <a href="https://qiita.com/advent-calendar/2023/gitlab" target="_blank" rel="nofollow noopener noreferrer">GitLab Advent Calendar 2023</a> の 1日目の記事です。</p>
<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p>今日も GitLab の運用おつかれさまです。<br>
運用につきものなのがトラブルシューティング。トラブルシューティングに欠かせないのがログの調査です。</p>
<p><a href="https://docs.gitlab.com/ee/administration/logs/" target="_blank" rel="nofollow noopener noreferrer">GitLab はたくさんのログを吐きます</a>。構成や利用機能の有無で増減しますが、全部で40個近くあります。そんな膨大なログから必要な情報を抜き出すための小技たちを紹介します。</p>
<p>なお以下の説明は、GitLab を、最も一般的な Linux パッケージ (a.k.a Omnibus パッケージ) でインストールしている前提になっています。ソースからインストールした場合には当てはまらない情報も含まれていますので、ご注意ください。</p>
<h1 id="%E6%B5%81%E3%82%8C%E3%82%8B%E3%83%AD%E3%82%B0%E3%82%92%E7%9C%BA%E3%82%81%E3%82%8B">
<a class="header-anchor-link" href="#%E6%B5%81%E3%82%8C%E3%82%8B%E3%83%AD%E3%82%B0%E3%82%92%E7%9C%BA%E3%82%81%E3%82%8B" aria-hidden="true"></a> 流れるログを眺める</h1>
<p>何かが起きるのを待っているとき、流れるログをリアルタイムで眺めたいときがあります。<br>
下記コマンドで、前述の全部のログをリアルタイムで表示します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> gitlab-ctl <span class="token function">tail</span>
</code></pre></div><p>しかしこれだとどんどん表示が流れてしまって目で追うことは不可能なので、こうすると <code>/var/log/gitlab</code> のサブディレクトリ単位で表示するログを絞ることができます。</p>
<div class="code-block-container"><pre><code>sudo gitlab-ctl &lt;/var/log/gitlabのサブディレクトリ名&gt;
</code></pre></div><p>例:</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> gitlab-ctl gitlab-rails
</code></pre></div><p>複数のサブディレクトリのログを見たいとか、サブディレクトリ内をさらに絞りたい場合は、こういう小技が使えます。<code>&lt;...パス名の一部&gt;</code> は <code>|</code> (OR) で繋いで複数指定できます。</p>
<div class="code-block-container"><pre><code>gitlab-ctl tail |
  sed -nre'/^==&gt; .*(&lt;除きたいログのパス名の一部&gt;).* &lt;==/,/^$/d;/^==&gt; .*(&lt;含めたいログのパス名の一部&gt;).* &lt;==/,/^$/p'
</code></pre></div><p>例:</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">gitlab-ctl <span class="token function">tail</span> <span class="token operator">|</span>
  <span class="token function">sed</span> -nre<span class="token string">'/^==&gt; .*(db-migrate|exporter).* &lt;==/,/^$/d;/^==&gt; .*(gitlab-rails|sidekiq).* &lt;==/,/^$/p'</span>
</code></pre></div><p>次のは GitLab に限らずわりと知られた小技だと思いますが、<br>
いくら表示を絞っても、流れるログを目で追うのは至難の技なので、注目したい文字列をハイライトしてみます。上の各コマンドの出力を下記の grep にパイプで渡します。</p>
<div class="code-block-container"><pre><code>| grep -E '&lt;ハイライトしたいキーワード&gt;|$'
</code></pre></div><p>例</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">gitlab-ctl <span class="token function">tail</span> <span class="token operator">|</span>
  <span class="token function">sed</span> -nre<span class="token string">'/^==&gt; .*(db-migrate|exporter).* &lt;==/,/^$/d;/^==&gt; .*(gitlab-rails|sidekiq).* &lt;==/,/^$/p'</span> <span class="token operator">|</span>
  <span class="token function">grep</span> <span class="token parameter variable">-Ei</span> <span class="token string">'error|$'</span>
</code></pre></div><h1 id="%E3%83%AD%E3%83%BC%E3%83%86%E3%83%BC%E3%83%88%E3%81%95%E3%82%8C%E3%81%9F%E3%83%AD%E3%82%B0%E3%82%82%E8%A6%8B%E3%81%9F%E3%81%84">
<a class="header-anchor-link" href="#%E3%83%AD%E3%83%BC%E3%83%86%E3%83%BC%E3%83%88%E3%81%95%E3%82%8C%E3%81%9F%E3%83%AD%E3%82%B0%E3%82%82%E8%A6%8B%E3%81%9F%E3%81%84" aria-hidden="true"></a> ローテートされたログも見たい</h1>
<p>GitLab のログは、一定の期間または一定のサイズごとにローテートされます。<br>
<a href="https://docs.gitlab.com/ee/administration/logs/#log-rotation" target="_blank" rel="nofollow noopener noreferrer">GitLab のログには大きく2種類</a>あって、それぞれでローテートの設定や見方が微妙に違うので分けて説明します。</p>
<h2 id="logrotate-%E9%85%8D%E4%B8%8B%E3%81%AE%E3%83%AD%E3%82%B0">
<a class="header-anchor-link" href="#logrotate-%E9%85%8D%E4%B8%8B%E3%81%AE%E3%83%AD%E3%82%B0" aria-hidden="true"></a> <a href="https://docs.gitlab.com/omnibus/settings/logs.html#logrotate" target="_blank" rel="nofollow noopener noreferrer">logrotate 配下のログ</a>
</h2>
<p>デフォルトでは、24時間 ごとにローテートされます。<br>
ローテートされたログも含めて全部見るには下記のコマンドを実行します。</p>
<div class="code-block-container"><pre><code>sudo zcat -f $(ls -vr &lt;ログファイルのパス名&gt;*)
</code></pre></div><p>例:</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> zcat <span class="token parameter variable">-f</span> <span class="token variable"><span class="token variable">$(</span><span class="token function">ls</span> <span class="token parameter variable">-vr</span> /var/log/gitlab/gitlab-rails/production_json.log*<span class="token variable">)</span></span>
</code></pre></div><h2 id="runit-%E9%85%8D%E4%B8%8B%E3%81%AE%E3%82%B3%E3%83%B3%E3%83%9D%E3%83%BC%E3%83%8D%E3%83%B3%E3%83%88%E3%81%AE%E3%83%AD%E3%82%B0">
<a class="header-anchor-link" href="#runit-%E9%85%8D%E4%B8%8B%E3%81%AE%E3%82%B3%E3%83%B3%E3%83%9D%E3%83%BC%E3%83%8D%E3%83%B3%E3%83%88%E3%81%AE%E3%83%AD%E3%82%B0" aria-hidden="true"></a> <a href="https://docs.gitlab.com/omnibus/settings/logs.html#runit-logs" target="_blank" rel="nofollow noopener noreferrer">runit 配下のコンポーネントのログ</a>
</h2>
<p>デフォルトでは、24時間 または 200MB の早く来た方でローテートされます。<br>
ローテートされたログも含めて全部見るには下記のコマンドを実行します。</p>
<div class="code-block-container"><pre><code>sudo zcat -f $(ls &lt;ログディレクトリのパス&gt;/*.[su] &lt;ログディレクトリのパス&gt;/current)
</code></pre></div><p>例:</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> zcat <span class="token parameter variable">-f</span> <span class="token variable"><span class="token variable">$(</span><span class="token function">ls</span> /var/log/gitlab/sidekiq/*.<span class="token punctuation">[</span>su<span class="token punctuation">]</span> /var/log/gitlab/sidekiq/current<span class="token variable">)</span></span>
</code></pre></div><h1 id="json-%E3%83%AD%E3%82%B0%E3%82%92%E6%89%B1%E3%81%86">
<a class="header-anchor-link" href="#json-%E3%83%AD%E3%82%B0%E3%82%92%E6%89%B1%E3%81%86" aria-hidden="true"></a> JSON ログを扱う</h1>
<p>GitLab のログは現在 <a href="https://gitlab.com/groups/gitlab-org/-/epics/469" target="_blank" rel="nofollow noopener noreferrer">JSON 形式の構造化ログへの移行</a>を進めています (厳密には NDJSON / 改行区切り JSON)。5年越しでまだ継続中ですが、主だったログは移行が完了しています。</p>
<p>JSON を扱うときの強い味方が <a href="https://jqlang.github.io/jq/" target="_blank" rel="nofollow noopener noreferrer">Jq</a> です。<br>
Jq を使ってGitLab のログを扱う例をいくつか紹介します。<br>
(以下の例は、<code>sudo -i</code> してルートになって、<code>cd /var/log/gitlab</code> した後、という前提で書いてあります。)</p>
<h2 id="%E5%85%A8%E3%83%AD%E3%82%B0%E3%82%92%E6%A8%AA%E6%96%AD%E7%9A%84%E3%81%AB%E6%A4%9C%E7%B4%A2%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E5%85%A8%E3%83%AD%E3%82%B0%E3%82%92%E6%A8%AA%E6%96%AD%E7%9A%84%E3%81%AB%E6%A4%9C%E7%B4%A2%E3%81%99%E3%82%8B" aria-hidden="true"></a> 全ログを横断的に検索する</h2>
<p>Grep で <code>-R</code> を付けて検索していますが、<code>-H</code> でどのログファイルなのかも知りたい、でもそうすると出力が JSON じゃなくなってしまう、というわけで、ファイル名を sed で JSON に埋め込んでいます。<br>
3行目は、もともと JSON 形式じゃないログ ─ runit 配下のコンポーネントのログは全部 <code>current</code> という名前のためファイル名で見分けがつかないので ─ をエラーにせず素通しする方法です。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">grep</span> <span class="token parameter variable">-RHEi</span> <span class="token parameter variable">--include</span> <span class="token string">'*_json.log'</span> <span class="token parameter variable">--include</span> current <span class="token string">'error'</span> <span class="token operator">|</span>
  <span class="token function">sed</span> -re<span class="token string">'s/^([^:]+): ?\{/{"logfile":"\1",/'</span> <span class="token operator">|</span> 
  jq <span class="token parameter variable">-Rr</span> <span class="token string">'. as $line | fromjson? // $line'</span>
</code></pre></div><p>調べたい現象がどのログに出ているのかまだわからないときに便利です。</p>
<h2 id="%E5%85%A8%E3%83%AD%E3%82%B0%E3%82%92%E6%A8%AA%E6%96%AD%E7%9A%84%E3%81%AB%E6%A4%9C%E7%B4%A2%E3%81%97%E3%81%A6%E3%82%BF%E3%82%A4%E3%83%A0%E3%82%B9%E3%82%BF%E3%83%B3%E3%83%97%E3%81%A7%E3%82%BD%E3%83%BC%E3%83%88%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E5%85%A8%E3%83%AD%E3%82%B0%E3%82%92%E6%A8%AA%E6%96%AD%E7%9A%84%E3%81%AB%E6%A4%9C%E7%B4%A2%E3%81%97%E3%81%A6%E3%82%BF%E3%82%A4%E3%83%A0%E3%82%B9%E3%82%BF%E3%83%B3%E3%83%97%E3%81%A7%E3%82%BD%E3%83%BC%E3%83%88%E3%81%99%E3%82%8B" aria-hidden="true"></a> 全ログを横断的に検索してタイムスタンプでソートする</h2>
<p>前項の応用編で、Jq 側でキーワード検索して、さらにタイムスタンプでソートしています。<br>
Jq 側で処理するため、JSON 形式のログだけに絞っています。<br>
Jq でソートするには、入力が array でないといけないので <code>-s</code> オプションを付けて、ソートした後に <code>.[]</code> で改行区切りに展開しています。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">grep</span> <span class="token parameter variable">-RHEi</span> <span class="token parameter variable">--include</span> <span class="token string">'*_json.log'</span> <span class="token parameter variable">--include</span> current <span class="token string">'^{'</span> <span class="token operator">|</span>
  <span class="token function">sed</span> -re<span class="token string">'s/^([^:]+): ?\{/\{"logfile":"\1",/'</span> <span class="token operator">|</span>
  jq <span class="token parameter variable">-s</span> <span class="token string">'sort_by(.time)|.[]|select(.severity=="ERROR" or .status&gt;200)'</span>
</code></pre></div><p>調べたい現象が複数のログファイルにわたって出るときに便利です。</p>
<h2 id="%E3%81%9D%E3%81%AE%E4%BB%96-jq-%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%88%E3%81%84%E3%82%8D%E3%81%84%E3%82%8D">
<a class="header-anchor-link" href="#%E3%81%9D%E3%81%AE%E4%BB%96-jq-%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%88%E3%81%84%E3%82%8D%E3%81%84%E3%82%8D" aria-hidden="true"></a> その他 Jq スクリプトいろいろ</h2>
<p><code>correlation_id</code> でグループ化</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">jq <span class="token parameter variable">-s</span> <span class="token string">'sort_by(.time)|group_by(.correlation_id)|.[]'</span>
</code></pre></div><p><code>uri</code> に特定の文字列が入っているログを抽出</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">jq <span class="token string">'select(.uri and (.uri|contains("git-upload-pack")))'</span>
</code></pre></div><p>sidekiq のログから、<code>created_at</code> から <code>completed_at</code> まで 60 秒以上かかっている Ci ジョブのログを抽出する</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">jq 'select<span class="token punctuation">(</span>.message<span class="token punctuation">[</span><span class="token number">0</span>:4<span class="token punctuation">]</span><span class="token operator">==</span><span class="token string">"Ci::"</span> and .completed_at and <span class="token punctuation">(</span>.completed_at<span class="token punctuation">[</span><span class="token number">0</span>:19<span class="token punctuation">]</span>+<span class="token string">"Z"</span><span class="token operator">|</span>fromdate<span class="token punctuation">)</span>-<span class="token punctuation">(</span>.created_at<span class="token punctuation">[</span><span class="token number">0</span>:19<span class="token punctuation">]</span>+<span class="token string">"Z"</span><span class="token operator">|</span>fromdate<span class="token punctuation">)</span> <span class="token operator">&gt;</span> <span class="token number">60</span><span class="token punctuation">)</span>
</code></pre></div><h1 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h1>
<p>書き出してみると、意外にバリエーションがなくて、こじんまりした記事になってしまいました。基本的なパターンをいろんな違うシーンで使い回してたんだなー、ということを実感しています。<br>
GitLab を運用する方々にちょっとでも参考になれば幸いです。</p>


GitLab ログ調査の小技たち

runit 配下のコンポーネントのログ

ローテートされたログも見たい

全ログを横断的に検索してタイムスタンプでソートする

Discussion