Windows 下Filebeat排错Case实例一份,请查收。

问题描述:

Windows Server下Filebeat Agent服务无法正常启动,导致网络数据打点无法正常进行,影响大范围用户网络使用等;

报错信息如下:

查看对应log文件,日志信息如下:

2019-03-04T11:38:14+08:00 INFO Home path: [C:\Program Files\Filebeat] Config path: [C:\Program Files\Filebeat] Data path: [C:\\ProgramData\\filebeat] Logs path: [C:\Program Files\Filebeat\logs]

2019-03-04T11:38:14+08:00 INFO Setup Beat: filebeat; Version: 5.1.2

2019-03-04T11:38:14+08:00 INFO Max Retries set to: 3

2019-03-04T11:38:14+08:00 INFO Activated logstash as output plugin.

2019-03-04T11:38:14+08:00 INFO Publisher name: "server name"

2019-03-04T11:38:14+08:00 INFO Flush Interval set to: 1s

2019-03-04T11:38:14+08:00 INFO Max Bulk Size set to: 2048

2019-03-04T11:38:14+08:00 INFO filebeat start running.

2019-03-04T11:38:14+08:00 INFO Registry file set to: C:\ProgramData\filebeat\registry

2019-03-04T11:38:14+08:00 INFO Loading registrar data from C:\ProgramData\filebeat\registry

2019-03-04T11:38:14+08:00 ERR Error decoding old state: invalid character '\x00' looking for beginning of value

2019-03-04T11:38:14+08:00 INFO Total non-zero values:

2019-03-04T11:38:14+08:00 INFO Uptime: 42.0006ms

2019-03-04T11:38:14+08:00 INFO filebeat stopped.

2019-03-04T11:38:14+08:00 CRIT Exiting: Could not start registrar: Error loading state: Error decoding states: invalid character '\x00' looking for beginning of value

环境(软件/硬件):

Windows Server 2016 、Filebeat 5.1.2

原因分析:

因补丁更新、系统异常重启、服务进程异常中断、用户权限、服务目录权限调整等等原因导致Filebeat Agent注册服务信息无法正常加载。

1.查看当前服务器系统日志,发现有大量filebeat服务意外停止报错,事件ID 7000、7034:

此时我们按照该内容指引排查系统是否有异常日志信息,发现某时间段有意外关闭操作,如下:

2.查看filebeat对应logs日志信息,目录位置:C:\ProgramData\filebeat\Logs:

默认日志文件中会记录整个filebeat安装配置等信息,发现有如下错误信息:

INFO Loading registrar data from C:\ProgramData\filebeat\registry
ERR Error decoding old state: invalid character '\x00' looking for beginning of value
INFO Total non-zero values:

这期间尝试卸载并重新安装filebeat agent,发现依旧无法重新启动该服务。

解决步骤:

1.我们按照报错提示内容查看filebeat配置路径文件变化,发现默认通过powershell卸载filebeat并不会删除C:\ProgramData\filebeat\registry注册信息;这里我们尝试直接删除C:\ProgramData\下filebeat目录信息;

2.重新安装filebeat Agent并重启对应filebeat服务,发现无异常,后台恢复正常。(PS.因第一时间恢复业务,部分内容无备档,只能用恢复服务后截图补充,请知悉。)

注:生产环境建议对核心业务、核心服务等进行进行监控,同时要定时关注对应日志文件存放目录、Logs文件大小设置等等,提前预判并规避不必要的业务宕机时间等。

欢迎关注微信公众号:小温研习社

排错:Windows系统异常导致Filebeat无法正常运行的更多相关文章

  1. Windows系统下Log4Net+FileBeat+ELK日志分析系统问题总结

    问题如下:1.FileBeat日志报 "dial tcp 127.0.0.1:5544: connectex: No connection could be made because the ...

  2. 【原创】访问Linux进程文件表导致系统异常复位的排查记录

    前提知识: Linux内核.Linux 进程和文件数据结构.vmcore解析.汇编语言 问题背景: 这个问题出自项目的一个安全模块,主要功能是确定某进程是否有权限访问其正在访问的文件. 实现功能时,需 ...

  3. 关于windows系统DPI增大导致字体变大的原因分析

    最近再学习WPF开发,其中提到一个特性“分辨率无关性”,主要功能就是实现开发的桌面程序在不同分辨率的电脑上显示时,会根据系统的DPI自动进行UI的缩放,从而不会导致应用程序的失真. 这个里面就提到了个 ...

  4. 2013-6-2 [转载自CSDN]如何入门Windows系统下驱动开发

    [序言]很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都以英文为主,这样让很多驱动初学者很头疼.本人从事驱动开发时间不长也不短,大概 ...

  5. Windows系统错误代码大全

    1 Microsoft Windows 系统错误代码简单分析: 0000 操作已成功完成.0001 错误的函数. 0002 系统找不到指定的文件. 0003 系统找不到指定的路径. 0004 系统无法 ...

  6. Windows系统版本号判定那些事儿

    v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VM ...

  7. Windows系统版本判定那些事儿

    v:* { } o:* { } w:* { } .shape { }p.MsoNormal,li.MsoNormal,div.MsoNormal { margin: 0cm; margin-botto ...

  8. Windows系统下的TCP参数优化(注册表\TCPIP\Parameters)

    转自:https://blog.csdn.net/libaineu2004/article/details/49054261 Windows系统下的TCP参数优化   TCP连接的状态与关闭方式及其对 ...

  9. 排错-windows下 ORA-12560 TNS 协议适配器错误解决方法

    排错-windows下_ORA-12560 TNS 协议适配器错误解决方法 by:授客 QQ:1033553122 问题描述: 修改SQL*Plus窗口属性后,重新打开SQL*Plus时出现ORA-1 ...

随机推荐

  1. Java NIO Scatter / Gather

    原文链接:http://tutorials.jenkov.com/java-nio/scatter-gather.html Java NIO发布时内置了对scatter / gather的支持.sca ...

  2. linux编译安装时常见错误解决办法

    This article is post on https://coderwall.com/p/ggmpfa 原文链接:http://www.bkjia.com/PHPjc/1008013.html ...

  3. SSIS 检查点

    在SSIS中,检查点实际上是一个记录系统,用于记录控制流中Task组件的执行状态.通过合理地配置Checkpoint,在Package运行出错之后,重新执行Package,可以跳过上一次已经成功执行的 ...

  4. is not eligible for getting processed by all BeanPostProcessors

    BeanPostProcessor是控制Bean初始化开始和初始化结束的接口.换句话说实现BeanPostProcessor的bean会在其他bean初始化之前完成,BeanPostProcessor ...

  5. 你不知道的JavaScript--Item1 严格模式

    本文转自[阮一峰博客]:http://www.ruanyifeng.com/blog/2013/01/javascript_strict_mode.html 一.概述 除了正常运行模式,ECMAscr ...

  6. 通过MSSQL分析器跟踪研究EM内部行为并解决identify列问题

    今天有人问到MSSQL表里的IDENTITY字段,如何让它在复制原来数据到该表时,原来数据的IDENTITY字段不变,而新插入数据时,新插入的数据的IDENTITY依然增长,查了些资料,做了个实验,最 ...

  7. Tornado框架实现图形验证码功能

    图形验证码是项目开发过程中经常遇到的一个功能,在很多语言中都有对应的不同形式的图形验证码功能的封装,python 中同样也有类似的封装操作,通过绘制生成一个指定的图形数据,让前端HTML页面通过链接获 ...

  8. TCP/IP协议——ARP详解

    本文主要讲述了ARP的作用.ARP分组格式.ARP高速缓存.免费ARP和代理ARP. 1.学习ARP前要了解的内容 建立TCP连接与ARP的关系 应用接受用户提交的数据,触发TCP建立连接,TCP的第 ...

  9. 由一条sql语句想到的子查询优化

    摘要:相信大家都使用过子查询,因为使用子查询可以一次性的完成很多逻辑上需要多个步骤才能完成的SQL操作,比较灵活,我也喜欢用,可最近因为一条包含子查询的select count(*)语句导致点开管理系 ...

  10. java 基础知识小结

    1. java 有三个求整的函数 math.floor ()  (floor 是地板的意思)  向下求整 math.ceil ()  (ceil 是天花板的意思 ) 向上求整 math.round() ...