Agent がホスト上でデータを収集するためには、特定の権限が必要です。以下に、最も一般的な権限の問題とその解決方法を示します。

Agent ロギングのアクセス許可に関する問題

Datadog Agent をホストで実行する際、アクセス許可に関連する以下のような問題が発生することがあります。このような問題は、Agent の適切なログ作成を妨げる可能性があります。

IOError: [Errno 13] Permission denied: '/var/log/datadog/supervisord.log'

Agent のログファイルと、ログファイルが含まれるディレクトリのオーナーが Datadog Agent ユーザー: dd-agent であることを確認します。オーナーが Agent ユーザーではない場合、Agent はログエントリーをファイルに書き込むことはできません。下記の例は、ファイルのオーナーシップ情報を表示するためにUnix システムで利用できるコマンドです。

ls -l /var/log/datadog/

total 52300
-rw-r--r-- 1 dd-agent dd-agent 5742334 Jul 31 11:49 collector.log
-rw-r--r-- 1 dd-agent dd-agent 10485467 Jul 28 02:45 collector.log.1
-rw-r--r-- 1 dd-agent dd-agent 1202067 Jul 31 11:48 dogstatsd.log
-rw-r--r-- 1 dd-agent dd-agent 10485678 Jul 28 07:04 dogstatsd.log.1
-rw-r--r-- 1 dd-agent dd-agent 4680625 Jul 31 11:48 forwarder.log
-rw-r--r-- 1 dd-agent dd-agent 10485638 Jul 28 07:09 forwarder.log.1
-rw-r--r-- 1 dd-agent dd-agent 1476 Jul 31 11:37 jmxfetch.log
-rw-r--r-- 1 dd-agent dd-agent 31916 Jul 31 11:37 supervisord.log
-rw-r--r-- 1 dd-agent dd-agent 110424 Jul 31 11:48 trace-agent.log
-rw-r--r-- 1 dd-agent dd-agent 10000072 Jul 28 08:29 trace-agent.log.1

ファイルのオーナーが dd-agent ユーザー以外の場合、下記のコマンドを使用してオーナーシップを変更し、Agent を再起動します。

sudo chown -R dd-agent:dd-agent /var/log/datadog/

Agent ログの場所に関する詳細情報はこちらからご確認ください

Agent ソケットのアクセス許可に関する問題

Agent の起動時に、ソケットのアクセス許可に関する次のような問題が発生することがあります。

Starting Datadog Agent (using supervisord):Error: Cannot open an HTTP server: socket.error reported errno.EACCES (13)

一見したところ、適切なソケットがすでに使用されているために Agent が接続できないように見えるかもしれません。しかし、長引く Agent プロセスが残留していないことを再度確認済みで、Agent 用の適切なポートが使用可能であると確認できていても、上記のエラーが続くことがあります。

Linux ホストの場合、正常に起動するためには /opt/datadog-agent/run ディレクトリのオーナーが dd-agent である必要があります。まれに、このディレクトリのオーナーシップが dd-agent 以外に変更されてしまうことがあります。これにより、Agent の起動時に上記のエラーが発生します。次のコマンドを実行して、このディレクトリのオーナーシップを再度確認します。

ls -al /opt/datadog-agent/run

ファイルのオーナーが dd-agent 以外の場合は、次のコマンドを実行して修正します。

chown dd-agent -R /opt/datadog-agent/run

このように変更後は、Agent 起動コマンドが Agent を正常に起動させることができるはずです。上記のステップに従ったにもかかわらず、引き続きこの問題が発生する場合は、Datadog サポートチームにご相談ください。

プロセスメトリクスのアクセス許可に関する問題

Linux OS で実行している Agent のプロセスチェックを有効化している場合、デフォルトでは system.processes.open_file_descriptors メトリクスが収集または報告されません。 これは、プロセスが Agent ユーザー dd-agent ではなく、他のユーザーの元で実行されるプロセスチェックにより監視されている場合に発生します。実際、dd-agent ユーザーには、Agent がメトリクスのデータを収集するために参照する /proc の全ファイルへの完全なアクセス権がありません。

プロセスチェック構成で try_sudo オプション (Agent 6.3 以降で利用可能) を有効化し、適切な sudoers ルールを追加します。

dd-agent ALL=NOPASSWD: /bin/ls /proc/*/fd/

これにより、プロセスチェックで sudo を使用して ls コマンドを実行できるようになりますが、パスが /proc/*/fd/ のコンテンツリストのみが対象です。

Datadog の error.log ファイルに sudo: sorry, you must have a tty to run sudo の行があった場合、visudo を使って sudoers ファイルの Default requiretty という行をコメントアウトする必要があります。

Agent を root 権限で実行する

try_sudo を使用できない場合、代替手段として Agent を root 権限で実行することができます。

Linux では、プロセスデーモンを root 権限で実行することはベストプラクティスではありません。Agent はオープンソースであり、GitHub リポジトリを通じて監査できます。

Agent を root 権限で実行するには

  1. Agent を停止します
  2. /etc/systemd/system/multi-user.target.wants/datadog-agent.service を開き、[Service]user 属性を変更します
  3. Agent を起動します

詳細情報と、Linux マシンで利用可能なこのメトリクスのその他の取得メソッドについては、下記の GitHub に関する問題をご参照ください。

その他の参考資料