Logstash的一次问题排查

最新推荐文章于 2024-02-07 09:30:00 发布
最新推荐文章于 2024-02-07 09:30:00 发布
阅读量1.6w 收藏 4
点赞数 14
分类专栏: 问题分析解决 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhihua0925/article/details/52495527
版权

Logstash简介

Logstash is a tool for managing events and logs. You can use it to collect logs, parse them, and store them for later use (like, for searching). – http://logstash.net

我们通常使用Logstashg来收集和分析日志,详细使用和配置方法可以参考ELKstack中文指南
zabbix插件安装方法:

# logstash-plugin install logstash-output-zabbix

我们这里使用CentOS 6.5和其默认源安装的Logstash-2.3,据说下一版本直接上5.0,哈哈

问题描述

根据logstash的配置方法写了一个配置文件,并放入/etc/logstash/conf.d/目录下,然后我们运行logstash

# service logstash start
Logstash started.

丢入测试的日志,但这时我们的ES并没有收集到预期的日志信息,zabbix也没有收到相应的报警信息(这个是我们自己做的基于日志的报警),查看/var/log/logstash/logstash.log只有Logstash启动信息,没有日志相关的信息。
然后停止logstash使用,logstash -f /etc/logstash/conf.d 方式再次启动logstash进行测试,输入测试的日志结果ES可以收到相关的日志,zabbix也可以报警。
也就是说以服务的方式启动logstash,/etc/logstash/conf.d下的配置文件不生效,使用-f参数指定配置文件是生效的!!

问题分析过程

1. 首先查看了使用服务方式启动时的进程参数

# ps aux | grep 'logstash' | grep  -v 'grep'
root     20921 86.0  1.0 9344268 521780 pts/2  SNl  16:42   0:55 /usr/bin/java -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Djava.awt.headless=true -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Djava.io.tmpdir=/var/lib/logstash -Xmx1g -Xss2048k -Djffi.boot.library.path=/opt/logstash/vendor/jruby/lib/jni -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Djava.awt.headless=true -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+HeapDumpOnOutOfMemoryError -Djava.io.tmpdir=/var/lib/logstash -XX:HeapDumpPath=/opt/logstash/heapdump.hprof -Xbootclasspath/a:/opt/logstash/vendor/jruby/lib/jruby.jar -classpath : -Djruby.home=/opt/logstash/vendor/jruby -Djruby.lib=/opt/logstash/vendor/jruby/lib -Djruby.script=jruby -Djruby.shell=/bin/sh org.jruby.Main --1.9 /opt/logstash/lib/bootstrap/environment.rb logstash/runner.rb agent -f /etc/logstash/conf.d -l /var/log/logstash/logstash.log

其中最核心的是最后面的:

logstash/runner.rb agent -f /etc/logstash/conf.d   //启用该目录下所有配置

通过与手动启动的方式对比并没有什么区别,但结果却不同,于是我们追溯使用服务方式启动时的具体环境参数和命令

2. 分析/etc/init.d/logstash的启动过程

通过第1点的分析,我们追溯到服务的启动环境可能是导致结果不一样的原因,而在CentOS中的启动是由/etc/init.d/logstash控制的,所以我们分析该脚本中的启动代码:

 54 start() {
 55 
 56   LS_JAVA_OPTS="${LS_JAVA_OPTS} -Djava.io.tmpdir=${LS_HOME}"
 57   HOME=${LS_HOME}
 58   export PATH HOME LS_HEAP_SIZE LS_JAVA_OPTS LS_USE_GC_LOGGING LS_GC_LOG_FILE
 59 
 60   # chown doesn't grab the suplimental groups when setting the user:group - so we have to do it for it.
 61   # Boy, I hope we're root here.
 62   SGROUPS=$(id -Gn "$LS_USER" | tr " " "," | sed 's/,$//'; echo '')
 63 
 64   if [ ! -z $SGROUPS ]
 65   then
 66         EXTRA_GROUPS="--groups $SGROUPS"
 67   fi
 68   # set ulimit as (root, presumably) first, before we drop privileges
 69   ulimit -n ${LS_OPEN_FILES}
 70 
 71   # Run the program!
 72   nice -n ${LS_NICE} chroot --userspec $LS_USER:$LS_GROUP $EXTRA_GROUPS / sh -c "
 73     cd $LS_HOME
 74     ulimit -n ${LS_OPEN_FILES}
 75     exec \"$program\" $args
 76   " > "${LS_LOG_DIR}/$name.stdout" 2> "${LS_LOG_DIR}/$name.err" &
 77 
 78   # Generate the pidfile from here. If we instead made the forked process
 79   # generate it there will be a race condition between the pidfile writing
 80   # and a process possibly asking for status.
 81   echo $! > $pidfile
 82 
 83   echo "$name started."
 84   return 0
 85 }

上述代码可以知道,其执行过程为初始化环境变量->设置打开文件数->运行logstash,其核心为72~76行
我们查找其中的环境变量并一一打印输出:

nice -n 19 chroot --userspec logstash:logstash --groups logstash   //72行
ulimit -n 16384  //74行
exec /opt/logstash/bin/logstash agent -f /etc/logstash/conf.d -l /var/log/logstash/logstash.log //75

我们使用手动命令直接在bash中以root用户执行上述命令同样是有效的,Logstash正确工作,所以我们几乎确认是由于logstash的默认执行用户(logstash)权限不足导致的。

3. 修改文件属主和权限方法(失败)

给/etc/init.d/logstash下面文件尝试赋予最大的权限并修改为logstash属主,但依然没有解决。

4. 直接以root用户运行(成功)

根据上述72行代码可以知道,logstash是以logstash用户启动的,我们将其修改为root,即:

 29 LS_USER=root    //原来默认为logstash
 30 LS_GROUP=root  //原为默认为logstash

这次成功!!!哈哈!!

枫华0925
关注
  • 14
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
es+logstash 资源限制分两次上传
01-17
es+logstash 资源限制分两次上传
Linux修改环境变量及生效方法
jsugs的博客
12-27 9818
注: 部分概念介绍来源于网络 方法一(对所有用户生效(永久的)): 在/etc/profile文件添加变量 用vim /etc/profile文件增加变量。 export PATH=/home/opt 要让刚才的修改马上生效,需要执行以下代码 # source /etc/profile 验证是否成功 echo $PATH 验证 env 查看所有环境变量 方法二(对单一用户生效(永久的)): 在用户目录下的~/.bash_profile文件增加变量 用vim在用户目录下的~/.bash_prof..
响应式设计的基本原理和实现方法(超级详细)
贫僧法号依平
02-07 897
面对不同分辨率设备灵活性强能够快捷解决多设备显示适应问题仅适用布局、信息、框架并不复杂的部门类型网站兼容各种设备工作量大,效率低下代码累赘,会出现隐藏无用的元素,加载时间加长其实这是一种折性质的设计解决方案,多方面因素影响而达不到最佳效果一定程度上改变了网站原有的布局结构,会出现用户混淆的情况。
logstash使用
Hanyinh的博客
11-07 2670
点击下载logstash logstash介绍 一、简介 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地 二、使用 把下载的文件放到随便一个目录下,然后解压 用命令行进行配置,然后实现logstash功能 在路径\bin下打开命令窗口,输入命令
ELK安装--Logstash部署报错及解决方式
qq_51085767的博客
03-09 1202
启动Logstash服务后 使用命令ps,查看进程 使用netstat -ntpl命令查看端口 问题1:启动服务后,有进程但是没有端口 解决方法:(1)首先查看日志内容: [root@elk-2 ~]# cat /var/log/logstash/logstash-plain.log | grep que (2)通过日志确定是权限问题,因为之前我们以root的身份在终端启动过Logstash,所以产生的相关文件的权限用户和权限组都是root:`** [root@elk-2 ~]# ll /va.
Logstash报错:Logstash could not be started because there is already another instance using...
一只不知疲倦的学习猿
05-25 1680
原因:之前运行的instance有缓冲,保存在path.data里面有.lock文件,删除掉就可以。 解决办法:在 logstash.yml 文件找到 Data path 的路径(默认在安装目录的data目录下)
关于如何以root用户运行logstash进行的方法
Foylc的博客
09-29 3012
关于这个以root用户运行logstash镜像,真的是搞了我不少时间,到处找资料,希望这篇记录对你们有帮助,节省下大家的时间,废话不多说,下面就是步骤: 1.首先我下载的是docker.elastic.co/logstash/logstash:5.5.2这个镜像,可以通过命令docker pull命令下载; 2.docker run -u root -it docker.elastic.c
Logstash报错:Logstash could not be started because there is already another instance using the configu
weixin_44898311的博客
10-22 1996
错误一: 1、错误提示: Sending Logstash logs to /var/log/logstash which is now configured via log4j2.properties [2019-12-26T07:31:29,884][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specif
linux logstash启动脚本,logstash服务启动脚本
weixin_30569923的博客
05-07 907
vi /etc/init.d/logstash#!/bin/sh# Init scriptforlogstash# Maintained by Elasticsearch# Generated by pleaserun.# Implemented based on LSB Core3.1:#* Sections: 20.2, 20.3#### BEGIN INIT INFO# Provides: ...
logstash 8.13.1
最新发布
04-09
logstash 8.13.1
logstash安装部署手册
05-12
logstash安装部署手册
logstash.conf
12-18
logstash.conf
logstash配置文件
07-27
logstash配置文件
logstash 5.4.0
11-21
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。 顾名思义,Logstash 收集数据对象就是日志文件。由于日志文件来源多(如...
logstash ELK
11-05
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。
logstash-ODBC.rar
08-31
logstash-output-jdbc.zip
logstash oss 7.10.2 arm64版本
07-27
logstash 是一款开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您选择的“存储库”。此版本特别为 arm64 架构的系统设计,提供了高效的数据处理性能。安装后即可使用.
logstash.rar
04-09
logstash-6.7.0.tar.gz,linux,请修改后缀名。。请zsbd
logstash安装
01-07
Logstash是一个开源的服务器端数据处理管道,可以同时从多个数据源获取数据,并对其进行转换,然后将其发送到你最喜欢的“存储”。(当然,我们最喜欢的是Elasticsearch) 下载Logstash 我的是 7.3.0 ...
logstash 写一个dockerfile
04-25
好的,我可以帮你写一个基于 Docker 的 Logstash 安装 Dockerfile 文件,如下所示: ``` # 使用 Logstash 官方 Docker 镜像 FROM docker.elastic.co/logstash/logstash:7.15.1 # 添加自定义配置文件 ADD logstash.conf /usr/share/logstash/pipeline/ # 启动命令 CMD ["-f", "/usr/share/logstash/pipeline/logstash.conf"] ``` 在上面的 Dockerfile ,首先使用 Logstash 官方 Docker 镜像作为基础镜像,然后将自定义配置文件添加到 Logstash 的 pipeline 目录,最后设定启动命令。 如果你需要更详细的说明或有任何其他问题,请随时告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值