如何排查日志未采集?
问题描述
日志审计(原生版)采集日志配置配好后,仍未采集到日志,如何排查?
可能原因
- 采集日志相关程序未正常启动。
- 中间件出现故障。
- 采集资产未配置。
解决方案
了解采集日志程序作用
- Log_c(日志采集)接收日志并通过kafka将接收的日志转发log_p。
- Log_p(日志解析分类)接收log_c转发的原始日志根据解析规则等进行解析,并通过kafka将解析后的日志发送给esinsert。
- Esinsert(录入elasticsearch)将解析后的日志录入elasticsearch。
- Coresvr(页面更新程序)将页面下发的规则等变更,通过kafka下发给对应的服务。
查看程序是否启动
点击“系统配置”>“系统运维”,在服务管理中,查看相关服务状态,出现异常时,点击重启程序,过1min,刷新页面,查看服务状态是否正常。
查看程序日志
点击“系统配置”>“系统运维”,在服务管理中,点击导出日志,可导出服务日志。将log_c、logp、coresvr、esinsert等服务日志按流程步骤依次查看是否有异常信息。
中间件故障
各程序报告日志出现如下报错:Broker transport failure: 127.0.0.1:9092/0:Connect to ipv4#127.0.0.1:9092 failed。
日志分析,9092为kafka服务端口,该提示为kafka出现异常。