如何排查日志未采集？

問題描述

日志審計（原生版）采集日志配置配好后，仍未采集到日志，如何排查？

可能原因

• 采集日志相關程序未正常啟動。
• 中間件出現故障。
• 采集資產未配置。

解決方案

了解采集日志程序作用

• Log_c（日志采集）接收日志并通過kafka將接收的日志轉發log_p。
• Log_p（日志解析分類）接收log_c轉發的原始日志根據解析規則等進行解析，并通過kafka將解析后的日志發送給esinsert。
• Esinsert（錄入elasticsearch）將解析后的日志錄入elasticsearch。
• Coresvr（頁面更新程序）將頁面下發的規則等變更，通過kafka下發給對應的服務。

查看程序是否啟動

點擊“系統配置”>“系統運維”,在服務管理中，查看相關服務狀態，出現異常時，點擊重啟程序，過1min，刷新頁面，查看服務狀態是否正常。

查看程序日志

點擊“系統配置”>“系統運維”,在服務管理中，點擊導出日志，可導出服務日志。將log_c、logp、coresvr、esinsert等服務日志按流程步驟依次查看是否有異常信息。

中間件故障

各程序報告日志出現如下報錯：Broker transport failure: 127.0.0.1:9092/0:Connect to ipv4#127.0.0.1:9092 failed。

日志分析，9092為kafka服務端口，該提示為kafka出現異常。