Splunk 7.2.9.1 Универсальный сервер пересылки в SUSE Linux12.4 не обменивается данными и не пересылает журналы в индексатор по прошествии определенного периода времени

Question

Я заметил, что универсальный сервер пересылки Splunk 7.2.9.1 в SUSE Linux12.4 не обменивается данными с сервером развертывания и не пересылает журналы индексатору через определенный период времени. Кажется, что процесс splunkd запущен, пока проблема не устранена. Мне нужно перезапустить UFW, чтобы он возобновил связь с развертыванием и пересылкой журналов. Но это снова остановит связь через определенный промежуток времени.

Я не вижу никаких c журналов в splunkd.log, пока возникает эта проблема. Тем не менее, я заметил ниже сообщение от watchdog.log

06-16-2020 11: 51: 09.055 +0200 ERROR Watchdog - от IMonitoredThread = 0x7f24365fdcd0 не получен ответ в течение 8000 мс. Похоже, поток name = 'Shutdown' занят !? Начало трассировки с интервалом 8000 мс.

Может ли кто-нибудь помочь понять, что вызывает эту проблему.

Answer 1

Это известная проблема. Из примечаний к выпуску 7.2.9.1:

Универсальные серверы пересылки перестают многократно отправлять данные в течение дня

Обходной путь: В limits.conf попробуйте изменить file_tracking_db_threshold_mb в разделе [inputproc] на a меньшее значение. Я не нашел версию, в которой это не указано в списке известных проблем.