The server crashed in the middle of the night, customers were calling, and the boss was constantly urging. Are you familiar? Don't panic! The "black box" that records the entire truth - the log files - will be your lifesaver. With 10 years of experience fighting in Pham Hai, I will show you how to use the log server to analyze the confusing access error log into an effective weapon. Together we will catch illnesses and fix errors in the blink of an eye, helping you and the whole team sleep better every night.
Catch server problems through the two most important "logs": Access Log and Error Log
To clearly understand what system log analysis is, you must master the two most basic file types: Access log (access log) and Error log (error log). This is the foundation of every debugging process.
Access Log: Who "knocked on the door" of your server? What do they do?
Access log is like a security camera at your front door. It records every request sent to the server, regardless of success or failure. Mastering how to read access log and error log helps you immediately identify unusual signs.
A standard Apache logs or Nginx logs stream often contains extremely valuable information. You will see the client's IP address, access time, HTTP method (GET, POST), URL path, status code and User-Agent (the browser they are using).
Ví dụ, nếu bạn thấy một IP lạ liên tục gửi hàng ngàn request POST vào trang đăng nhập trong vòng 1 phút, đó 99% là một cuộc tấn công Brute-force. Để hiểu sâu hơn về cách các web server này xử lý request và ghi log khác nhau ra sao, bạn có thể tham khảo bài viết Nginx vs Apache so sánh web server 2026 mà mình từng chia sẻ.
Below are the blind spots you need to carefully examine in the Access log:
- Lưu lượng tăng đột biến: Dấu hiệu của DDoS hoặc một bài viết của bạn bỗng dưng "viral".
- User-Agent lạ: Các bot quét lỗ hổng thường dùng các User-Agent mặc định của tool như
python-requestshoặccurl. - Request vào các file nhạy cảm: Bất kỳ ai cố gắng truy cập
/wp-config.phphay.envđều có ý đồ xấu.
Error Log: System's cry for help - Decoding common HTTP error codes
If the Access log is the camera, then the Error log is the fire alarm. This is where the server records details of why it was unable to serve the user. troubleshooting server errors using logs depends entirely on your ability to decode these HTTP Error Codes.
During my work, I see System Administrators and DevOps Engineers often struggling with the 5xx error group.
- Lỗi 500 Internal Server Error: Ác mộng tồi tệ nhất. Server gặp lỗi logic bên trong (thường do code PHP/NodeJS lỗi, hoặc sai cấu hình quyền file).
- Lỗi 502 Bad Gateway: Nginx hoặc Apache hoạt động như một proxy nhưng không thể kết nối được với backend (ví dụ PHP-FPM bị sập).
- Lỗi 503 Service Unavailable: Server đang quá tải hoặc đang trong quá trình bảo trì.
To limit basic system errors that lead to website crashes, equipping yourself with foundational knowledge is essential. You should take a look at the guide Basic Linux server administration for developers to be more confident when handling these problems. When reading the Error log, don't just look at the error code, look for the accompanying "Stack trace" line, it will specifically identify which line of code, which file is causing the problem.
Don't read the log manually anymore, let the tool take care of it! The era of centralized log management
Dùng lệnh tail -f hay grep thủ công để tìm lỗi trên một server duy nhất thì được. Nhưng với hệ thống lớn, việc này đã quá lỗi thời. Việc thiết lập quản lý log tập trung là bước ngoặt để tối ưu hiệu suất hệ thống.
Why is distributed logs on each server a "nightmare" in a Microservices system?
I used to manage a Microservices system with more than 20 containers running scatteredly. Initially, every time there was a transaction error, our team had to SSH into each server one by one, opening each log file to detect. It was a horrifying experience and spent hours just to find a single failed request.
Log trong microservices sinh ra lượng dữ liệu log khổng lồ và phân tán. Nếu không có cơ chế Log aggregation (gom cụm log), bạn sẽ mù tịt về bức tranh toàn cảnh. Khi một request đi qua API Gateway, gọi đến Service A, rồi Service B bị lỗi, bạn cần một nơi duy nhất để xâu chuỗi toàn bộ hành trình đó. Hơn nữa, việc gom log về một nơi an toàn cũng góp phần tăng cường Bảo mật hệ thống, tránh việc hacker xóa log cục bộ để phi tang. Bạn có thể tìm hiểu thêm về các biện pháp phòng vệ toàn diện tại bài viết Bảo mật VPS Linux chống hack tấn công.
Introducing the "braves" of log management: Syslog-ng, ELK Stack, Graylog
Currently, there are many powerful log server management tools. At Pham Hai, we often advise customers to choose based on size and budget. Here are the most popular open source log analysis tools in 2026:
| Tools | Outstanding features | Suitable for |
|---|---|---|
| Syslog-ng | Lightweight, high speed, used to forward logs. Helps you understand the nature of What is a Syslog server. | Small server, need to collect basic logs in one place. |
| ELK Stack | (Elasticsearch, Logstash, Kibana). Huge ecosystem, ultimate Data visualization. | Large businesses need deep and complex data analysis. |
| Graylog | Installation is easier than ELK, optimized interface for Sysadmin debugging, good role/permission management. | IT and DevOps teams need quick error finding tools. |
Besides using these heavy log systems, to ensure Monitoring the vital status of the server (Uptime/CPU/RAM) in the lightest way, you should combine other tools. Don't miss the article about Monitoring server Uptime Kuma Netdata for a comprehensive warning system.
Practical case study: Trace and fix 502 Bad Gateway error in 15 minutes thanks to log server
Enough theory, I will recount a real Troubleshooting case at Pham Hai. Customers report that the website sometimes has error 502 during peak hours. Below is how I use real-time log collection solution to solve crimes.
Step 1: Localize the time the error occurred and Correlate log from Nginx and application log
First, I don't grope aimlessly. I opened the dashboard and localized the exact time frame from 14:00 to 14:15. The most important technique here is Correlation Analysis.
Mình tìm thấy lỗi 502 trong Nginx logs, nhưng Nginx chỉ báo là kết nối đến backend bị đứt. Để biết backend bị gì, mình phải lấy cái Request-ID từ Nginx, sau đó mang sang Application log (ví dụ log của Laravel hoặc Node.js) để đối chiếu. Nếu bạn đang tự build hệ thống từ con số 0 và muốn biết cách cấu hình Nginx chuẩn ngay từ đầu, hãy xem hướng dẫn Cấu hình VPS Ubuntu chạy WordPress từ đầu của mình.
Step 2: Use the filter on Graylog/Kibana to find the exact request causing the error and analyze it in depth
Thay vì dùng lệnh grep, mình gõ thẳng vào thanh tìm kiếm của Graylog: status:502 AND request_time:>5s. Chỉ mất 2 giây, hệ thống lọc ra chính xác 45 request bị lỗi.
Thanks to the Real Time feature, I realized that all of these requests call into one revenue report output API. This API is trying to query too large an amount of data from the database without a cache, resulting in the backend service crashing and Nginx returning a 502. Using these Tools saves 90% of the groping time.
Step 3: Detect the cause and provide temporary and long-term solutions
The reason is clear: The database is overloaded due to heavy queries (Slow queries).
- Giải pháp tạm thời: Mình tiến hành block tạm thời IP đang spam request xuất báo cáo, đồng thời restart lại service backend để giải phóng RAM, giúp website hoạt động bình thường trở lại ngay lập tức.
- Giải pháp lâu dài: Mình yêu cầu team Dev tối ưu lại câu lệnh SQL, thêm index cho bảng dữ liệu và áp dụng Redis cache. Đây chính là lợi ích của phân tích log - nó không chỉ giúp sửa lỗi mà còn tối ưu hiệu suất hệ thống với log. Để đi sâu vào việc xử lý các rắc rối liên quan đến cơ sở dữ liệu, bạn chắc chắn sẽ cần đọc bài viết Tối ưu database mysql wordpress để hệ thống chạy mượt mà hơn.
Log data is not just lifeless text files, it is the truest story about your system's health. Reading and understanding it not only helps troubleshoot problems quickly, but is also key to Optimizing resources, establishing early Warnings, and increasing security. Turn the skill of using log server to analyze access error log from a boring job into a "super weapon" of an Information Security Specialist or professional administrator.
Have you ever encountered any "difficult" cases when debugging a server in the middle of the night? Please share your story in the comments section below, let's learn together!
Lưu ý: Các thông tin trong bài viết này chỉ mang tính chất tham khảo. Để có lời khuyên tốt nhất, vui lòng liên hệ trực tiếp với chúng tôi để được tư vấn cụ thể dựa trên nhu cầu thực tế của bạn.
