本文分析了在ELK堆栈中,两台Logstash实例因UUID重复而导致监控数据异常显示的问题。深入探讨了UUID生成机制及容器化部署的影响,提出了重新制作镜像并在打包前删除UUID或使用官方镜像启动的解决方案。
问题
同时在36和39两台主机上启动了两个logstash,两台通过日志查看都正常运行,但是在Kibana的监控界面查看节点,发现统计结果只有一台
分析
logstash的monitor和management是统一交由xpack管理的,其中logstash的监控数据也会存入索引,类似.monitoring-logstash-7-2019.11.20这样
查看并分析其数据发现两台的监控数据都存在即排除有一方没有上报监控数据的问题,继续分析发现其logstash_stats.logstash.uuid这一字段重复,
经调研该字段由logstash初始化启动时生成,具备唯一性,其一般存放在"logstash安装目录/data/uuid"
分别进入两台主机查看该文件,果然两者的uuid内容完全一致
结论
logstash是容器部署,其默认镜像中没有nmap插件,因此我在一次安装完插件后提交了该容器,导致了后续使用该进行启动的logstash拥有了一样的uuid
解决方案
重新制作镜像,在打包之前停止logstash并删除其uuid,或者最保险每次都是利用官方进行启动
思考
该问题应该是一个共性问题,ELK生态中的所有组件都有类似的潜在风险,因此以后部署过程中要注意该问题
其它
分析过程中这位老哥的issue帮助很大
Duplicated UUID in Logstash or Kibana monitored instances leads to show only 1 of them in the Monitoring tabs.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
