所以..我已经安装了 Logstash,并且没有使用 logstash shipper(因为它需要 JVM 并且通常很庞大),而是使用了具有以下配置的 rsyslogd。
# Use traditional timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
# Provides kernel logging support (previously done by rklogd)
$ModLoad imklog
# Provides support for local system logging (e.g. via logger command)
$ModLoad imuxsock
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;local6.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
在 /etc/rsyslog.d/logstash.conf 中有 28 个使用 imfile 的文件监视器块
$ModLoad imfile # Load the imfile input module
$ModLoad imklog # for reading kernel log messages
$ModLoad imuxsock # for reading local syslog messages
$InputFileName /var/log/rabbitmq/startup_err
$InputFileTag rmq-err:
$InputFileStateFile state-rmq-err
$InputFileFacility local6
$InputRunFileMonitor
....
$InputFileName /var/log/some.other.custom.log
$InputFileTag cust-log:
$InputFileStateFile state-cust-log
$InputFileFacility local6
$InputRunFileMonitor
....
*.* @@10.90.0.110:5514
有 28 个 InputFileMonitor 块,每个块监视不同的自定义应用程序日志文件。
如果我跑
[root@secret-gm02 ~]# lsof|grep rsyslog
rsyslogd 5380 root cwd DIR 253,0 4096 2 /
rsyslogd 5380 root rtd DIR 253,0 4096 2 /
rsyslogd 5380 root txt REG 253,0 278976 1015955 /sbin/rsyslogd
rsyslogd 5380 root mem REG 253,0 58400 1868123 /lib64/libgcc_s-4.1.2-20080825.so.1
rsyslogd 5380 root mem REG 253,0 144776 1867778 /lib64/ld-2.5.so
rsyslogd 5380 root mem REG 253,0 1718232 1867780 /lib64/libc-2.5.so
rsyslogd 5380 root mem REG 253,0 23360 1867787 /lib64/libdl-2.5.so
rsyslogd 5380 root mem REG 253,0 145872 1867797 /lib64/libpthread-2.5.so
rsyslogd 5380 root mem REG 253,0 85544 1867815 /lib64/libz.so.1.2.3
rsyslogd 5380 root mem REG 253,0 53448 1867801 /lib64/librt-2.5.so
rsyslogd 5380 root mem REG 253,0 92816 1868016 /lib64/libresolv-2.5.so
rsyslogd 5380 root mem REG 253,0 20384 1867990 /lib64/rsyslog/lmnsd_ptcp.so
rsyslogd 5380 root mem REG 253,0 53880 1867802 /lib64/libnss_files-2.5.so
rsyslogd 5380 root mem REG 253,0 23736 1867800 /lib64/libnss_dns-2.5.so
rsyslogd 5380 root mem REG 253,0 20768 1867988 /lib64/rsyslog/lmnet.so
rsyslogd 5380 root mem REG 253,0 11488 1867982 /lib64/rsyslog/imfile.so
rsyslogd 5380 root mem REG 253,0 24040 1867983 /lib64/rsyslog/imklog.so
rsyslogd 5380 root mem REG 253,0 11536 1867987 /lib64/rsyslog/imuxsock.so
rsyslogd 5380 root mem REG 253,0 13152 1867989 /lib64/rsyslog/lmnetstrms.so
rsyslogd 5380 root mem REG 253,0 8400 1867992 /lib64/rsyslog/lmtcpclt.so
rsyslogd 5380 root 0r REG 0,3 0 4026531848 /proc/kmsg
rsyslogd 5380 root 1u IPv4 1200589517 0t0 TCP 10.10.10.90 t:40629->10.10.10.90:5514 (ESTABLISHED)
rsyslogd 5380 root 2u IPv4 1200589527 0t0 UDP *:45801
rsyslogd 5380 root 3w REG 253,3 17999744 2621483 /var/log/messages
rsyslogd 5380 root 4w REG 253,3 13383 2621484 /var/log/secure
rsyslogd 5380 root 5w REG 253,3 7180 2621493 /var/log/maillog
rsyslogd 5380 root 6w REG 253,3 43321 2621529 /var/log/cron
rsyslogd 5380 root 7w REG 253,3 0 2621494 /var/log/spooler
rsyslogd 5380 root 8w REG 253,3 0 2621495 /var/log/boot.log
rsyslogd 5380 root 9r REG 253,3 1064271998 2621464 /var/log/custom-application.monolog.log
rsyslogd 5380 root 10u unix 0xffff81081fad2e40 0t0 1200589511 /dev/log
你可以看到无处实际有近 28 个日志文件被读取。
我真的必须监控一个文件,因此我将它移到顶部,然后它将其拾取,但我希望能够监控所有 28 个以上的文件,而不必担心。
操作系统
Centos 5.5
Kernel 2.6.18-308.el5
rsyslogd 3.22.1, compiled with:
FEATURE_REGEXP: Yes
FEATURE_LARGEFILE: Yes
FEATURE_NETZIP (message compression): Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
Atomic operations supported: Yes
Runtime Instrumentation (slow code): No
问题:
为什么 rsyslogd 只监控一小部分文件?如何修复这个问题,以便监控所有文件?
答案1
我知道其中一些是显而易见的,但以下是我想尝试的事情......
- 验证状态文件名是否唯一
- 验证每一个
$InputFileName指向现有的常规的文件 - 给它一些时间。默认轮询间隔为 10 秒,感觉就像永恒一样
- 清楚地说明什么不起作用。您的问题表明仅根据 的输出,文件并未受到监控
lsof。您没有提到您是否真的尝试写入其中一个有问题的文件,等待 10 秒,而输出日志中没有任何内容出现。并且还演示了如何验证正在正确监控的文件。 - 尝试删除一些正在监视的文件。也许只有一个受监视文件存在问题,这会导致 rsyslog 也忽略其余文件。知道是哪一个文件会有所帮助。
如果有帮助的话,我有一个 CentOS 5.5,上面有相同版本的 rsyslog。我用 40 个文件进行了尝试,rsyslog 能够监控所有文件。所以我知道它可以正常工作。
答案2
该问题已经有了可接受的答案,但以防其他人需要它。
根据rsyslog 文档的默认值为PersistStateInterval0($InputFilePersistStateInterval在 imfile 模块上下文中),这意味着只有在inputfile关闭时才会写入 rsyslog 文件。这意味着如果您有一个连续打开的日志文件,它将似乎不起作用。
如果您遇到此问题,请尝试设置$InputFilePersistStateInterval为一个较低的值(仅用于测试),比如 2 或 3,然后一旦输入文件写入了该数量的行,它们就会被传递给 rsyslog。
答案3
我不能说这是个错误还是故意这样工作的。即使没有打开文件,也可以监视它。调用统计(2)检查 mtime/size 会提示自上次读取以来是否有任何变化。至少这是 nxlog 的工作方式,如果您需要监视远多于 28 个的文件描述符,则可以避免用尽文件描述符。