Filebeatで、ログ収集がとまる

Negi700 · November 6, 2019, 9:13am

Filebeatでのログ収集がとまり、困っています。

下記が出力され、決まった時間にログ収集がとまります。
現在、対処として、filebeatを再起動させて、ログ収集を再開させています。
他に、よい対処方法がありましたら、ご教示お願いします。

ログ収集がとまったときの出力
/var/log/messages

rsyslogd: [origin software="rsyslogd" swVersion="8.16.0" x-pid="1830" x-info="http://www.rsyslog.com"] rsyslogd was HUPed

Negi700 · November 29, 2019, 2:47am

FIlebeatのログを確認しました。
messagesのローテート後、filebeatがclose_inactiveして、
新しいmessagesファイルに取りにいかないようです。
何か、設定が足りないのでしょうか？

■FIlebeatの設定
filebeat.inputs:

type: log
enabled: true
- type: log
  paths:
  - /var/log/messages
    tags:
  - messages

■Filebeatのログ出力
2019-11-28T06:30:07.120Z INFO log/harvester.go:278 File is inactive: /var/log/messages. Closing because close_inactive of 5m0s reached.

st1t · November 29, 2019, 9:29am

/var/log/messageのログローテートはどういう方式でやっていますか？
例. logrotateでcopytruncateを使っている

可能であれば/var/log/messageのローテートの設定ファイルを共有してもらえると良いかもしれません

Negi700 · December 4, 2019, 1:26am

レス、ありがとうございます。
/var/log/messageのローテートの設定ファイルは、下記になります。
ご確認をお願いします。

$ cat /etc/logrotate.d/rsyslog
/var/log/syslog
{
#       rotate 7
        rotate 8
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
        endscript
}

/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
#       rotate 4
        rotate 8
#       weekly
        daily
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
        endscript
}

Negi700 · December 4, 2019, 7:45am

filebeatの設定ファイルは下記になります。

filebeat.yaml
    - type: log
      enabled: true
      close_inactive: 5m
      ignore_older: 15m
      paths:
        - /var/log/messages
      tags:
        - messages

Negi700 · December 6, 2019, 1:45pm

すみません。
解決しました。

原因
filebeatでは、なかったです。
helm チャートにて、filebeatのコンテナをデプロイしていたので、
messagesのファイルをマウントしていました。
そのため、ローテート後、k8sがmessagesファイルを握っていたのか、
新しいmessagesは作成され書き込まれるのですが、ログ収集できませんでした。

対処
helm チャートにて、messagresのファイルマウントではなく、
/var/logディレクトリだけをマウントしました。
その後、ローテート後もログ収集ができるようになりました。

system · January 3, 2020, 1:45pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.