所以..我已經安裝了Logstash,並且沒有使用logstash Shipper(因為它需要JVM並且通常很大),而是使用具有以下配置的rsyslogd。
# Use traditional timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
# Provides kernel logging support (previously done by rklogd)
$ModLoad imklog
# Provides support for local system logging (e.g. via logger command)
$ModLoad imuxsock
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;local6.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
在 /etc/rsyslog.d/logstash.conf 中使用 imfile 有 28 個檔案監視區塊
$ModLoad imfile # Load the imfile input module
$ModLoad imklog # for reading kernel log messages
$ModLoad imuxsock # for reading local syslog messages
$InputFileName /var/log/rabbitmq/startup_err
$InputFileTag rmq-err:
$InputFileStateFile state-rmq-err
$InputFileFacility local6
$InputRunFileMonitor
....
$InputFileName /var/log/some.other.custom.log
$InputFileTag cust-log:
$InputFileStateFile state-cust-log
$InputFileFacility local6
$InputRunFileMonitor
....
*.* @@10.90.0.110:5514
有 28 個 InputFileMonitor 區塊,每個區塊監視不同的自訂應用程式日誌檔案。
如果我跑
[root@secret-gm02 ~]# lsof|grep rsyslog
rsyslogd 5380 root cwd DIR 253,0 4096 2 /
rsyslogd 5380 root rtd DIR 253,0 4096 2 /
rsyslogd 5380 root txt REG 253,0 278976 1015955 /sbin/rsyslogd
rsyslogd 5380 root mem REG 253,0 58400 1868123 /lib64/libgcc_s-4.1.2-20080825.so.1
rsyslogd 5380 root mem REG 253,0 144776 1867778 /lib64/ld-2.5.so
rsyslogd 5380 root mem REG 253,0 1718232 1867780 /lib64/libc-2.5.so
rsyslogd 5380 root mem REG 253,0 23360 1867787 /lib64/libdl-2.5.so
rsyslogd 5380 root mem REG 253,0 145872 1867797 /lib64/libpthread-2.5.so
rsyslogd 5380 root mem REG 253,0 85544 1867815 /lib64/libz.so.1.2.3
rsyslogd 5380 root mem REG 253,0 53448 1867801 /lib64/librt-2.5.so
rsyslogd 5380 root mem REG 253,0 92816 1868016 /lib64/libresolv-2.5.so
rsyslogd 5380 root mem REG 253,0 20384 1867990 /lib64/rsyslog/lmnsd_ptcp.so
rsyslogd 5380 root mem REG 253,0 53880 1867802 /lib64/libnss_files-2.5.so
rsyslogd 5380 root mem REG 253,0 23736 1867800 /lib64/libnss_dns-2.5.so
rsyslogd 5380 root mem REG 253,0 20768 1867988 /lib64/rsyslog/lmnet.so
rsyslogd 5380 root mem REG 253,0 11488 1867982 /lib64/rsyslog/imfile.so
rsyslogd 5380 root mem REG 253,0 24040 1867983 /lib64/rsyslog/imklog.so
rsyslogd 5380 root mem REG 253,0 11536 1867987 /lib64/rsyslog/imuxsock.so
rsyslogd 5380 root mem REG 253,0 13152 1867989 /lib64/rsyslog/lmnetstrms.so
rsyslogd 5380 root mem REG 253,0 8400 1867992 /lib64/rsyslog/lmtcpclt.so
rsyslogd 5380 root 0r REG 0,3 0 4026531848 /proc/kmsg
rsyslogd 5380 root 1u IPv4 1200589517 0t0 TCP 10.10.10.90 t:40629->10.10.10.90:5514 (ESTABLISHED)
rsyslogd 5380 root 2u IPv4 1200589527 0t0 UDP *:45801
rsyslogd 5380 root 3w REG 253,3 17999744 2621483 /var/log/messages
rsyslogd 5380 root 4w REG 253,3 13383 2621484 /var/log/secure
rsyslogd 5380 root 5w REG 253,3 7180 2621493 /var/log/maillog
rsyslogd 5380 root 6w REG 253,3 43321 2621529 /var/log/cron
rsyslogd 5380 root 7w REG 253,3 0 2621494 /var/log/spooler
rsyslogd 5380 root 8w REG 253,3 0 2621495 /var/log/boot.log
rsyslogd 5380 root 9r REG 253,3 1064271998 2621464 /var/log/custom-application.monolog.log
rsyslogd 5380 root 10u unix 0xffff81081fad2e40 0t0 1200589511 /dev/log
你可以看到有無所不在實際讀取的日誌檔案接近 28 個。
我真的必須監視一個文件,所以我將其移至頂部,然後它將其拾取,但我希望能夠監視所有 28 個以上的文件,而不必擔心。
作業系統是
Centos 5.5
Kernel 2.6.18-308.el5
rsyslogd 3.22.1, compiled with:
FEATURE_REGEXP: Yes
FEATURE_LARGEFILE: Yes
FEATURE_NETZIP (message compression): Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
Atomic operations supported: Yes
Runtime Instrumentation (slow code): No
問題:
為什麼 rsyslogd 僅監視文件的一小部分?我該如何解決這個問題以便監控所有文件?
答案1
我知道其中一些是顯而易見的,但這裡是我會嘗試的事情...
- 驗證狀態檔名是否唯一
- 驗證每個
$InputFileName點都指向現有的常規的文件 - 給它一些時間。預設輪詢間隔是 10 秒,感覺就像永恆
- 清楚地展示什麼不起作用。您的問題表明,這些文件不會僅根據
lsof.您沒有提到您是否確實嘗試寫入有問題的文件之一,等待了 10 秒,並且輸出日誌中沒有顯示任何內容。也示範如何正確驗證正在監控的文件。 - 嘗試取出一些被監控的文件。也許只有一個受監視的檔案有問題,這使得 rsyslog 也忽略了其餘文件。知道它是哪一個會有所幫助。
如果有幫助的話,我有一個帶有相同版本 rsyslog 的 CentOS 5.5。我嘗試了 40 個文件,rsyslog 能夠監控所有這些文件。所以我知道它可以正常工作。
答案2
這個問題已經有一個公認的答案,但萬一其他人需要這個答案。
根據rsyslog 文檔預設值PersistStateInterval是 0(在 imfile 模組的上下文中),這表示 rsyslog 檔案僅在關閉$InputFilePersistStateInterval時寫入。inputfile這意味著如果您有一個連續打開的日誌文件,它似乎不起作用。
如果遇到此問題,請嘗試設定$InputFilePersistStateInterval為較低值(僅用於測試),例如 2 或 3,然後一旦輸入檔案寫入了該行數,它們將傳遞到 rsyslog。
答案3
我不能說這是一個錯誤還是打算以這種方式工作。即使文件沒有打開,也可以對其進行監視。呼喚統計數據(2)檢查 mtime/size 將提示自上次讀取以來是否有任何更改。至少這就是 nxlog 的工作原理,如果您需要監視的檔案描述符數量遠多於 28 個,則可以避免耗盡檔案描述符。