我注意到 SUSE Linux12.4 上的 Splunk 7.2.9.1 通用转发器在一段时间后没有与部署服务器通信并将日志转发到索引器。"splunkd"进程似乎正在运行,而此问题仍然存在。 我必须重新启动 UFW 才能恢复与部署的通信并转发日志。但这会在一段时间后再次停止通信。
发生此问题时.log我在 splunkd 中看到任何特定日志。 但是,我注意到以下来自看门狗的消息.log
06-16-2020 11:51:09.055 +0200 错误 看门狗 - 在 8000 毫秒内未收到来自 IMonitoredThread=0x7f24365fdcd0 的响应。 看起来线程名称="关机"正忙!?以 8000 毫秒的间隔开始跟踪。
有人可以帮助了解导致此问题的原因吗?
这似乎是一个已知问题。 来自 7.2.9.1 发行说明:
通用转发器全天停止重复发送数据
解决办法:在 limits.conf 中,尝试更改file_tracking_db_threshold_mb 在 [输入过程] 节中为较低的值。 我没有找到未将其列为已知问题的版本。