Problème avec l'outil de collecte

Olivier34000 · April 20, 2017, 7:05am

Bonjour,

Depuis plusieurs heures, je n'ai plus de logs qui arrivent sur Graylog.
J'ai redémarré l'outil de collecte mais ça ne change rien. Si je passe par le flux directement cela fonctionne.

system · April 20, 2017, 12:12pm

Bonjour,

Manifestement, votre stream reçoit bien vos logs.
Nous constatons un trou dans la nuit en terme de réception puis un burst de récupération (induit par votre client). Cependant, votre cas est isolé et nous n'avons rien vu de particulier dans nos logs (à l'exception de votre opération de restart ce matin.

Pour aider l'ensemble des propriétaires d'outils de collecte à diagnostiquer d'éventuels soucis, nous allons bientôt vous permettre d'obtenir sur le manager LDP les sorties consoles sur le manager (comme pour OTB par exemple).

Cordialement,

Olivier34000 · April 20, 2017, 12:33pm

Bonjour @PierreD,
Effectivement les logs se sont affichés à 10h03 bien plus tard que le redémarrage sans intervention de ma part.
Le problème est réapparu en fin de matinée. A 11h35 plus de logs puis de nouveau à 12h25. J'envoie les logs à partir de 2 serveurs différents.
J'ai remarqué qu'à chaque fois qu'il y a un problème j'ai les logs suivant
```
rsyslogd: unexpected GnuTLS error -53 in nsd_gtls.c:1618: Error in the push function. [v8.9.0 try http://www.rsyslog.com/e/2078 ]
GnuTLS error: Error in the push function.
```

system · April 20, 2017, 2:00pm

Bonjour,

Cela semble lié à ce bug https://github.com/rsyslog/rsyslog/issues/846
Pourriez-vous tenter avec une version récente de rsyslog en mettant à jour votre base image alpine en 3.5 ?

Merci

Olivier34000 · April 20, 2017, 2:53pm

J'ai mis à jour les containers. Je vous tiens au courant si le problème persiste

Olivier34000 · July 6, 2017, 4:27pm

Bonjour,

Le problème est de nouveau présent depuis 17h19 sur tous les containers que j'utilise. Je ne sais pas si vous avez mis un outil pour diagnostiquer le problème ?

Un tcpdump montre que ca sort bien

```
root@vps317296:~# tcpdump -i eth0 dst net 137.74.13.143
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

18:40:51.401918 IP vps317296.ovh.net.48852 > ip143.ip-137-74-13.eu.syslog-tls: Flags [P.], seq 611602108:611602305, ack 2052618962, win 252, options [nop,nop,TS val 374850670 ecr 1644978127], length 197
```

system · July 6, 2017, 7:11pm

Bonjour, le problème a été identifié.
Votre container a rencontré une erreur due à une valeur incorrecte du champ "level" réservé du format GELF. Il a ensuite été redémarré en boucle sur différents serveur et a continuer à recevoir des messages mal-formatés ce qui l'a empêché de revenir.
Nous avons donc corrigé le code du codec GELF de Logstash pour que celui-ci ne fasse plus planter le programme sur ce genre d'erreur.