我個人用docker搭建了一套日志分析平台:ELK+Filebeat
在正常跑了半個多月之后,Kibana刷新日志時突然發現日志不在更新了,停在某個時刻,就再也沒有新log.
首先我查看了elk,log都是正常的,沒有什么問題。然后我到filebeat上,看到了如下的log:
也就是說filebeat無法連接往logstash端口發送數據了。
以下整理了我排查的過程,自己作為一個總結,同時也希望能給初學者一些參考。
一、telnet查看網絡通不通
# telnet ip 5044
是相通的.
二、檢查filebeat 和logstash 的配置文件
1) filebeat 文件 path 路徑, output的配置是否正確
2)logstash input & output 是否正確
檢查下來,也是沒有問題的。
三、考慮這個應該還是網絡上的問題,可是telnet都是相通的,這到底是什么問題?
我把filebeat的容器重啟了一下,filebeat在重啟后,會在stdout打印它的log,其中我發現第一行有一個warning:
"
WARNING IPv4 forwarding is disabled. Networking will not work "
然后我在網上搜索了這個warning,有一個解決方案,我嘗試了一下:
>>>>
# vi /etc/sysctl.conf
或者
# vi /usr/lib/sysctl.d/00-system.conf
添加如下代碼:
net.ipv4.ip_forward=1
重啟network服務
# /etc/init.d/network restart
查看是否修改成功
# sysctl net.ipv4.ip_forward
如果返回為“net.ipv4.ip_forward = 1”則表示成功了
改完之后,我重啟了filebeat的容器,結果竟ok了。
四、為什么好好的,ipv4被disable了?
至於原因,未搞清楚,不知道是不是公司運維做了什么操作限制。
有大神知道的可能原因,歡迎留言指教。