Jak czytać logi Linux, zanim pojawi się alert

Najgorszy incydent to nie ten, który od razu kładzie usługę. Najgorszy jest ten, który „jeszcze działa”, ale użytkownik co chwilę trafia na zwolnienia, timeouty i losowe 5xx. Dashboard długo jest zielony, alertów brak, a system już zaczyna tracić wydajność i stabilność, choć formalnie nadal działa.

Właśnie tu logi wygrywają z samym monitoringiem.

Dlaczego logi pokazują problemy wcześniej niż monitoring

Monitoring zwykle patrzy na progi: CPU > X, RAM > Y, brak odpowiedzi na healthcheck. To potrzebne, ale reaguje głównie na stan, który już przekroczył granicę.

Logi pokazują zmianę zachowania wcześniej:

  • pojedyncze ostrzeżenia, które pojawiają się coraz częściej
  • wydłużanie odpowiedzi tylko dla części żądań
  • narastającą liczbę retry zanim poleci pierwszy twardy timeout
  • krótkie zrywanie połączeń, które jeszcze nie podnoszą alarmu

W wielu środowiskach Linux to właśnie logi aplikacji i proxy jako pierwsze pokazują zmianę zachowania systemu, zanim będzie ona widoczna w metrykach hosta.

W praktyce: monitoring powie „co się już stało”, a logi często mówią „co właśnie zaczyna się psuć”. Dlatego analiza logów Linux musi być elementem codziennej operacji, obok monitoringu infrastruktury i regularnej administracji Linux.

Na co patrzeć w logach: wzorce, nie pojedynczy error

Pojedynczy ERROR bez kontekstu rzadko coś znaczy. Liczy się sekwencja w czasie i proporcja zdarzeń.

1. Powtarzalne ostrzeżenia

WARNING raz na dobę to szum. WARNING co 2 minuty przez 3 godziny to trend. W produkcji to zwykle pierwszy sygnał, że bufor się kończy, zależność odpowiada wolniej albo aplikacja wpada w częściową degradację.

2. Wolne odpowiedzi ukryte w logach

W wielu stackach czas odpowiedzi jest logowany per request. Jeżeli p95 rośnie, ale średnia jest nadal „ładna”, użytkownik już czuje problem. Szukaj rekordów typu „request completed in 1200ms”, „upstream response time” albo „query took 800ms”.

3. Retry i timeouty

Retry potrafi maskować problem źródłowy przez długi czas, zwiększając jednocześnie obciążenie zależności i wydłużając całkowity czas odpowiedzi. Usługa formalnie odpowiada, ale kosztuje 2–3 próby.

Efekt: rosną opóźnienia, rośnie obciążenie backendów, a na końcu pojawia się lawina timeoutów.

4. Częste otwieranie i zamykanie połączeń (tzw. connection churn)

Częste otwieranie i zamykanie połączeń zamiast stabilnego poolingu to typowy sygnał problemów z konfiguracją, DNS albo limitem po stronie backendu. W logach widać to jako serię reconnectów, resetów i krótkich sesji TLS.

5. Sporadyczne błędy, które narastają

Na początku „jeden 502 na godzinę”. Tydzień później „kilka 502 co 10 minut”. To klasyczny wzorzec degradacji: błąd jest rzadki, ale jego częstotliwość rośnie szybciej niż ruch.

Typy sygnałów, które najczęściej zapowiadają incydent

Powtarzalne warningi

Sygnał: ten sam kod błędu z podobnym kontekstem, coraz gęściej w czasie.
Interpretacja: system jeszcze działa, ale margines bezpieczeństwa maleje.

Ukryta latencja

Sygnał: tylko część endpointów albo operacji ma skoki czasu.
Interpretacja: problem warstwy zależnej (DB, cache, API), niekoniecznie hosta.

Retry + timeout

Sygnał: rosnące retry, potem pierwsze timeouty, potem skok 5xx.
Interpretacja: przeciążenie lub niestabilność komunikacji między usługami.

Connection churn

Sygnał: krótkie sesje, częste reconnecty, reset połączeń.
Interpretacja: niestabilna sieć, zbyt agresywne timeouty, błędny keepalive, limity połączeń.

Błędy sporadyczne o rosnącej częstotliwości

Sygnał: mały wolumen błędów, ale systematyczny wzrost tygodniowy.
Interpretacja: ukryta degradacja, która przejdzie w widoczny incydent przy pierwszym piku ruchu.

Najczęstsze błędy przy analizie logów

  1. Polowanie tylko na ERROR — ignorowanie warningów i timeoutów aplikacyjnych
  2. Brak osi czasu — mieszanie zdarzeń z różnych okien i wyciąganie fałszywych wniosków
  3. Brak korelacji między warstwami — osobno log aplikacji, osobno system, osobno proxy
  4. Analiza „na incydent” — brak rutyny i brak punktu odniesienia dla normalnego dnia
  5. Wiara w średnie — średnia ukrywa ogon opóźnień, który zabija UX i SLA

Podejście praktyczne: co sprawdzać codziennie i co tydzień

Rutyna dzienna (15–20 minut)

  • Top 5 warningów według częstotliwości i trendu z ostatnich 24h
  • Najwolniejsze endpointy / operacje i zmiana względem dnia poprzedniego
  • Liczba retry, timeoutów i resetów połączeń
  • Nietypowe restarty usług, workerów, jobów

Cel: złapać zmianę kierunku, nie pełną awarię.

Rutyna tygodniowa (60 minut)

  • Porównanie tygodnia do tygodnia: błędy, warningi, p95/p99
  • Mapowanie sygnałów z logów na zmiany wdrożeniowe i konfiguracyjne
  • Weryfikacja, które warningi stały się „nową normalnością” i powinny dostać ticket naprawczy
  • Przegląd polityk retencji i jakości logowania

Cel: usunąć przyczynę, zanim zostanie skonsumowana przez większy ruch.

Jak korelować logi z zachowaniem systemu

Najskuteczniejsza metoda jest prosta: jedna linia czasu dla wszystkich warstw.

  1. Zaznacz dokładny przedział, kiedy użytkownik miał problem
  2. Zbierz logi z aplikacji, reverse proxy i systemu z tego samego okna
  3. Dołóż metryki hosta i sieci w tej samej skali czasu
  4. Szukaj kolejności zdarzeń, nie tylko współwystępowania

Jeżeli najpierw rośnie czas odpowiedzi backendu, potem retry w aplikacji, a na końcu 5xx w proxy — masz łańcuch przyczynowo-skutkowy, nie zgadywanie.

Przykłady z produkcji

Przykład 1: „Wszystko działa, ale checkout czasem wisi”

Objaw biznesowy: porzucone koszyki rosły wieczorami, bez twardego alarmu.
W logach: pojedyncze timeouty do bazy, potem retry, potem długie odpowiedzi endpointu płatności.
Przyczyna: zbyt mała pula połączeń DB po wzroście ruchu + brak backpressure po stronie aplikacji.
Efekt: spadek p95 i mniej porzuceń bez zmiany infrastruktury.

Przykład 2: „Losowe 502 po wdrożeniu”

Objaw: nieregularne błędy po deployu.
W logach: narastające warningi TLS i reconnecty.
Przyczyna: niespójne timeouty i keepalive.
Efekt: stabilne połączenia i brak 502.

Przykład 3: „System zamula rano”

Objaw: więcej zgłoszeń 8:00–9:30.
W logach: cykliczne spowolnienia.
Przyczyna: backup kolidujący z ruchem.
Efekt: przesunięcie harmonogramu i stabilizacja.

Logi i monitoring: to nie konkurencja

Dojrzałe środowisko łączy oba światy:

  • monitoring łapie stan krytyczny
  • logi pokazują trend i przyczynę
  • alerting bazuje na jakości (p95/p99)
  • analiza logów domyka diagnozę

Jeśli robisz hardening usług bez logów, łatwo pogorszyć stabilność. Jeśli monitorujesz bez logów — widzisz tylko efekt końcowy.

Wpływ na biznes

Brak analizy logów to:

  • spadek konwersji
  • więcej zgłoszeń
  • dłuższa diagnoza
  • większe ryzyko incydentu

Logi to najtańsze źródło wczesnego ostrzegania.

Najważniejszy wniosek operacyjny

W produkcji awaria rzadko zaczyna się od czerwonego alertu. Zaczyna się od małych odstępstw: jeden warning za dużo, kilka retry za często, pojedynczy endpoint wolniejszy niż zwykle.

Kto czyta te sygnały regularnie, ten gasi problem, zanim użytkownik nazwie go awarią.

Reszta widzi go dopiero wtedy, gdy monitoring przestaje być zielony.