我注意到SUSE Linux12.4上的Splunk 7.2.9.1通用转发器在一定时间后没有与部署服务器通信并将日志转发到索引器。"splunkd "进程似乎在运行,而这个问题一直存在。我必须重启UFW,它才能恢复与部署服务器的通信并转发日志。但这将在一定时间后再次停止通信。
当这个问题发生时,我在splunkd.log中看不到任何具体的日志,但是,我注意到watchdog.log中的以下信息
06-16-2020 11:51:09.055 +0200 ERROR 看门狗 - 8000毫秒内没有收到IMonitoredThread=0x7f24365fdcd0的响应。看来线程名='Shutdown'很忙!?开始跟踪8000毫秒的时间间隔。
谁能帮我了解一下是什么原因导致这个问题。
这似乎是一个已知问题。 来自7.2.9.1版本说明。
通用转发器在一天中反复停止发送数据
解决办法:在 limits.conf 中,尝试将 [inputproc] stanza 中的 file_tracking_db_threshold_mb 改为较低的值。在 limits.conf 中,尝试将 [inputproc] stanza 中的 file_tracking_db_threshold_mb 改为一个较低的值。 我没有找到一个版本没有将此列为已知问题。