天天看点
返回

服务器系统日志是否有相关报错,排错:Windows系统异常导致Filebeat无法正常运行...

windows 下filebeat排错case实例一份,请查收。

问题描述:

windows server下filebeat agent服务无法正常启动,导致网络数据打点无法正常进行,影响大范围用户网络使用等;

报错信息如下:

查看对应log文件,日志信息如下:2019-03-04t11:38:14+08:00 info home path: [c:\program files\filebeat] config path: [c:\program files\filebeat] data path: [c:\\programdata\\filebeat] logs path: [c:\program files\filebeat\logs]

2019-03-04t11:38:14+08:00 info setup beat: filebeat; version: 5.1.2

2019-03-04t11:38:14+08:00 info max retries set to: 3

2019-03-04t11:38:14+08:00 info activated logstash as output plugin.

2019-03-04t11:38:14+08:00 info publisher name: "server name"

2019-03-04t11:38:14+08:00 info flush interval set to: 1s

2019-03-04t11:38:14+08:00 info max bulk size set to: 2048

2019-03-04t11:38:14+08:00 info filebeat start running.

2019-03-04t11:38:14+08:00 info registry file set to: c:\programdata\filebeat\registry

2019-03-04t11:38:14+08:00 info loading registrar data from c:\programdata\filebeat\registry

2019-03-04t11:38:14+08:00 err error decoding old state: invalid character '\x00' looking for beginning of value

2019-03-04t11:38:14+08:00 info total non-zero values:

2019-03-04t11:38:14+08:00 info uptime: 42.0006ms

2019-03-04t11:38:14+08:00 info filebeat stopped.

2019-03-04t11:38:14+08:00 crit exiting: could not start registrar: error loading state: error decoding states: invalid character '\x00' looking for beginning of value

环境(软件/硬件):

windows server 2016 、filebeat 5.1.2

原因分析:

因补丁更新、系统异常重启、服务进程异常中断、用户权限、服务目录权限调整等等原因导致filebeat agent注册服务信息无法正常加载。

1.查看当前服务器系统日志,发现有大量filebeat服务意外停止报错,事件id 7000、7034:

此时我们按照该内容指引排查系统是否有异常日志信息,发现某时间段有意外关闭操作,如下:

2.查看filebeat对应logs日志信息,目录位置:c:\programdata\filebeat\logs:

默认日志文件中会记录整个filebeat安装配置等信息,发现有如下错误信息:

info loading registrar data from c:\programdata\filebeat\registry

err error decoding old state: invalid character '\x00' looking for beginning of value

info total non-zero values:

这期间尝试卸载并重新安装filebeat agent,发现依旧无法重新启动该服务。

解决步骤:

1.我们按照报错提示内容查看filebeat配置路径文件变化,发现默认通过powershell卸载filebeat并不会删除c:\programdata\filebeat\registry注册信息;这里我们尝试直接删除c:\programdata\下filebeat目录信息;

2.重新安装filebeat agent并重启对应filebeat服务,发现无异常,后台恢复正常。(ps.因第一时间恢复业务,部分内容无备档,只能用恢复服务后截图补充,请知悉。)

注:生产环境建议对核心业务、核心服务等进行进行监控,同时要定时关注对应日志文件存放目录、logs文件大小设置等等,提前预判并规避不必要的业务宕机时间等。

服务器系统日志是否有相关报错
上一篇: C# WPF ListBox的Item隔行 背景颜色变化
下一篇: android4.4 SystemUI的分析及滑动navigation的显示和隐藏