3

Filebeat は、ログを読み取り、マシン A の ELK logstash にプッシュするマシン B で実行されています。

しかし、マシン B の filebeat ログでは、エラーが表示されますi/o timeout

2019-08-24T12:13:10.065+0800    ERROR   pipeline/output.go:100  Failed to connect to backoff(async(tcp://example.com:5044)): dial tcp xx.xx.xx.xx:5044: i/o timeout 
2019-08-24T12:13:10.065+0800    INFO    pipeline/output.go:93   Attempting to reconnect to backoff(async(tcp://example.com:5044)) with 1 reconnect attempt(s)

正常に動作し、リッスンできるマシン A のログスタッシュを確認しました0 0.0.0.0:5044

ここにlogstashログがあります

[INFO ] 2019-08-24 12:09:35.217 [[main]-pipeline-manager] beats - Beats inputs: Starting input listener {:address=>"0.0.0.0:5044"}

そして、ここにnetstat出力があります、

$ sudo netstat -tlnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:5044            0.0.0.0:*               LISTEN      20668/java

また、マシン A のファイアウォールが閉じていることも確認します。

$ firewall-cmd --list-all
FirewallD is not running

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination

また、telnet を使用してマシン A を接続しますが、これはわかります。

$ telnet example.com 5044
Trying xx.xx.xx.xx...
telnet: connect to address xx.xx.xx.xx: Connection timed out

マシン A (ローカル) で同じ構成で filebeat を実行して、マシン B (リモート) の filebeat の構成が間違っていることを確認します。正常に動作します。

2019-08-24T14:17:35.195+0800    INFO    pipeline/output.go:95   Connecting to backoff(async(tcp://localhost:5044))
2019-08-24T14:17:35.198+0800    INFO    pipeline/output.go:105  Connection to backoff(async(tcp://localhost:5044)) established
4

1 に答える 1

3

最後に、VPS プロバイダーの aliyun が原因であることがわかりました。22、80、443 などの一般的なポートしか開いていません。

aliyun VPS 管理ページにログインし、5044 を開いて、VPS プロバイダーが 5044 ポートをバイパスするようにする必要があります。

*注: *添付ファイル: ELK で config filebeat を実行したときに発生したその他の問題。

**問題 1: ** バックオフ (async(tcp://ip:5044)) への接続に失敗しました: ダイヤル tcp ip:5044: 接続: 接続が拒否されました

2019-08-26T10:25:41.955+0800    ERROR   pipeline/output.go:100  Failed to connect to backoff(async(tcp://example.com:5044)): dial tcp xx.xx.xx.xx:5044: connect: connection refused
2019-08-26T10:25:41.955+0800    INFO    pipeline/output.go:93   Attempting to reconnect to backoff(async(tcp://example:5044)) with 2 reconnect attempt(s)

問題 2:イベントの発行に失敗しました: write tcp ip:46890->ip:5044: write: connection reset by peer

2019-08-26T10:28:32.274+0800    ERROR   logstash/async.go:256   Failed to publish events caused by: write tcp xx.xx.xx.xx:46890->xx.xx.xx.xx:5044: write: connection reset by peer
2019-08-26T10:28:33.311+0800    ERROR   pipeline/output.go:121  Failed to publish events: write tcp xx.xx.xx.xx:46890->xx.xx.xx.xx:5044: write: connection reset by peer

問題 3: Filebeat エラー: lumberjack プロトコル エラーと Logstasherror: OPENSSL_internal:WRONG_VERSION_NUMBER

Filebeat ログ エラー、

2019-08-26T08:49:09.505+0800    INFO    pipeline/output.go:95   Connecting to backoff(async(tcp://example.com:5044))
2019-08-26T08:49:09.588+0800    INFO    pipeline/output.go:105  Connection to backoff(async(tcp://example.com:5044)) established
2019-08-26T08:49:09.605+0800    ERROR   logstash/async.go:256   Failed to publish events caused by: lumberjack protocol error
2019-08-26T08:49:09.606+0800    ERROR   logstash/async.go:256   Failed to publish events caused by: client is not connected

Logstash ログ、

[INFO ] 2019-08-26 08:49:29.444 [defaultEventExecutorGroup-4-2] BeatsHandler - [local: 0.0.0.0:5044, remote: undefined] Handling exception: javax.net.ssl.SSLHandshakeException: error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUMBER
[WARN ] 2019-08-26 08:49:29.445 [nioEventLoopGroup-2-7] DefaultChannelPipeline - An exceptionCaught() event was fired, and it reached at the tail of the pipeline. It usually means the last handler in the pipeline did not handle the exception.
io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUMBER
        at io.netty.handler.codec.ByteToMessageDecoder.callDecode(ByteToMessageDecoder.java:472) ~[netty-all-4.1.30.Final.jar:4.1.30.Final]
        at io.netty.handler.codec.ByteToMessageDecoder.channelRead(ByteToMessageDecoder.java:278) ~[netty-all-4.1.30.Final.jar:4.1.30.Final]
        at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:362) ~[netty-all-4.1.30.Final.jar:4.1.30.Final]
        at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:348) ~[netty-all-4.1.30.Final.jar:4.1.30.Final]
        ...

3 つの問題はすべて、設定ミスが原因です。実行可能な設定は次のとおりです。

ログスタッシュのバージョン、

/usr/share/logstash/bin/logstash -V
logstash 7.3.1

ファイルビート版、

/usr/share/filebeat/bin/filebeat version
filebeat version 7.3.1 (amd64), libbeat 7.3.1 [a4be71b90ce3e3b8213b616adfcd9e455513da45 built 2019-08-19 19:30:50 +0000 UTC]

logstash conf ファイル/etc/logstash/conf.d/beat.conf

input {
  beats {
    port => 5044
    ssl => true
    ssl_certificate_authorities => "/etc/pki/tls/certs/logstash-forwarder.crt"
    ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
    ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
    ssl_verify_mode => "peer"
  }
}

output {
  elasticsearch {
    hosts => "http://127.0.0.1:9200"
    manage_template => false
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}

filebeat conf ファイル/etc/filebeat/filebeat.yml

#=========================== Filebeat inputs =============================

filebeat.inputs:

# Each - is an input. Most options can be set at the input level, so
# you can use different inputs for various configurations.
# Below are the input specific configurations.

- type: log

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /data/error_logs/Log_error_201908


#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["example.com:5044"]

  # Optional SSL. By default is off.
  # List of root certificates for HTTPS server verifications
  ssl.certificate_authorities: ["/etc/pki/tls/certs/logstash-forwarder.crt"]

  # Certificate for SSL client authentication
  ssl.certificate: "/etc/pki/tls/certs/logstash-forwarder.crt"

  # Client Certificate Key
  ssl.key: "/etc/pki/tls/private/logstash-forwarder.key"
于 2019-08-26T03:01:27.597 に答える