- 重要な情報
- はじめに
- 用語集
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
dd-agent でログコレクターから新しいログを Datadog に送信する際に、よく障害となる問題がいくつかあります。新しいログを Datadog に送信する際に問題が発生した場合は、このページに挙げられたトラブルシューティングをお役立てください。それでも問題が解決しない場合は、 Datadog サポートまでお問い合わせください。
datadog-agent のコンフィギュレーションに加えられた変更は、Agent を再起動した後に反映されます。
Datadog Agent は、ポート 10516 を使って TCP で Datadog にログを送信します。この接続が使用できない場合、ログは送信に失敗し、それを示すエラーが agent.log ファイルに記録されます。
OpenSSL、GnuTLS、または他の SSL/TLS クライアントを使用して、接続を手動でテストすることができます。OpenSSL の場合は、以下のコマンドを実行します。
openssl s_client -connect intake.logs.datadoghq.com:10516
GnuTLS の場合、以下のコマンドを実行します。
gnutls-cli intake.logs.datadoghq.com:10516
さらに、次のようなログを送信します。
<API_KEY> これはテストメッセージです
datadog.yaml に次の設定を追加して、Datadog Agent がログを転送するよう構成することができます。logs_config:
force_use_http: true
詳細については、HTTPS ログ転送セクションをご参照ください。
Agent のステータスコマンドをチェックすることが、問題の解決に役立つことがあります。
Datadog Agent は、ログの収集 (ログの追跡またはリスニング) を開始して以降に書き込まれたログのみを収集します。ログ収集が適切にセットアップされているかどうかを確認する場合は、まず新しいログが書き込まれていることを確認してください。
Datadog Agent は、ルートとして実行されません (一般的なベストプラクティスとして、ルートとして実行することは推奨されません)。カスタムログやインテグレーション用のログファイルを追跡するように Agent を構成する場合、Agent のユーザーがログファイルへの正しいアクセス権を持っていることを確認するために、特別な注意を払う必要があります。
オペレーティングシステムごとのデフォルトの Agent ユーザー:
| オペレーティングシステム | デフォルトの Agent ユーザー |
|---|---|
| Linux | datadog-agent |
| MacOS | datadog-agent |
| Windows | ddagentuser |
Agent に正しい権限がない場合、Agent のステータスを確認すると、以下のエラーメッセージのいずれかが表示される場合があります。
<path/to/filename>, check that all its subdirectories are executable. (パターン <path/to/filename> に一致するファイルが見つかりませんでした。そのサブディレクトリがすべて実行可能かどうか確認してください。)エラーを修正するには、Datadog Agent ユーザーにログファイルおよびサブディレクトリへの読み取り、書き込み、実行権限を与えます。
ファイルアクセス許可の詳細情報を取得するには、namei コマンドを実行します。
> namei -m /path/to/log/file
次の例では、Agent ユーザーは application ディレクトリに対する execute 権限、または error.log ファイルに対する読み取り権限を持っていません。
> namei -m /var/log/application/error.log
> f: /var/log/application/
drwxr-xr-x /
drwxr-xr-x var
drwxrwxr-x log
drw-r--r-- application
-rw-r----- error.log
ログフォルダとその子フォルダを読み取り可能にします。
sudo chmod o+rx /path/to/logs
注: これらの権限は、ログローテーション構成で正しく設定されていることを確認してください。そうしないと、次のログローテーション時に、Datadog Agent の読み取り権限が失われる可能性があります。Agent がファイルへの読み取りアクセス権を持つように、ログローテーション構成で権限を 644 として設定します。
ファイルの権限についてのより詳しい情報を得るには、ログフォルダ上で icacls コマンドを使用します。
icacls path/to/logs/file /t
/t フラグは、ファイルとサブフォルダに対して再帰的にコマンドを実行します。
以下の例では、test ディレクトリとその子ディレクトリは ddagentuser からはアクセスできないようになっています。
PS C:\Users\Administrator> icacls C:\test\ /t
C:\test\ NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
C:\test\file.log NT AUTHORITY\SYSTEM:(F)
BUILTIN\Administrators:(F)
C:\test\file2.log NT AUTHORITY\SYSTEM:(F)
BUILTIN\Administrators:(F)
icacls コマンドを使用して、ddagentuser に必要な権限を与えます (引用符を含めてください)。
icacls "path\to\folder" /grant "ddagentuser:(OI)(CI)(RX)" /t
アプリケーションがログローテーションを使用する場合、(OI) と (CI) の継承権は、今後ディレクトリに作成されるログファイルが親フォルダの権限を継承することを確実にします。
もう一度 icacls を実行して、ddagentuser が正しい権限を持っていることを確認します。
icacls path/to/logs/file /t
以下の例では、ファイルの権限に ddagentuser が記載されています。
PS C:\Users\Administrator> icacls C:\test\ /t
C:\test\ EC2-ABCD\ddagentuser:(OI)(CI)(RX)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
C:\test\file.log NT AUTHORITY\SYSTEM:(F)
BUILTIN\Administrators:(F)
EC2-ABCD\ddagentuser:(RX)
C:\test\file2.log NT AUTHORITY\SYSTEM:(F)
BUILTIN\Administrators:(F)
EC2-ABCD\ddagentuser:(RX)
Successfully processed 3 files; Failed processing 0 files
Agent サービスを再起動し、ステータスを確認し、問題が解決しているかどうかを確認します。
& "$env:ProgramFiles\Datadog\Datadog Agent\bin\agent.exe" restart-service
& "$env:ProgramFiles\Datadog\Datadog Agent\bin\agent.exe" status
ファイルの ACL 権限を取得します。
PS C:\Users\Administrator> get-acl C:\app\logs | fl
Path : Microsoft.PowerShell.Core\FileSystem::C:\app\logs
Owner : BUILTIN\Administrators
Group : EC2-ABCD\None
Access : NT AUTHORITY\SYSTEM Allow FullControl
BUILTIN\Administrators Allow FullControl
...
この例では、application ディレクトリは Agent によって実行可能ではありません。
この PowerShell スクリプトを実行し、ddagentuser に読み取り権限と実行権限を与えます。
$acl = Get-Acl <path\to\logs\folder>
$AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("ddagentuser","ReadAndExecute","Allow")
$acl.SetAccessRule($AccessRule)
$acl | Set-Acl <path\to\logs\folder>
ファイルの ACL 権限を再度取得し、ddagentuser が正しい権限を持っているかどうかを確認します。
PS C:\Users\Administrator> get-acl C:\app\logs | fl
Path : Microsoft.PowerShell.Core\FileSystem::C:\app\logs
Owner : BUILTIN\Administrators
Group : EC2-ABCD\None
Access : EC2-ABCD\ddagentuser Allow ReadAndExecute, Synchronize
NT AUTHORITY\SYSTEM Allow FullControl
BUILTIN\Administrators Allow FullControl
...
Agent サービスを再起動し、ステータスを確認し、問題が解決しているかどうかを確認します。
& "$env:ProgramFiles\Datadog\Datadog Agent\bin\agent.exe" restart-service
& "$env:ProgramFiles\Datadog\Datadog Agent\bin\agent.exe" status
Journald からログを収集する場合は、Journald インテグレーションで説明されているように、Datadog Agent ユーザーが systemd グループに追加されている必要があります。
注: ファイルアクセス許可が正しくなければ、Journald は空のペイロードを送信します。そのため、この場合は、明示的なエラーメッセージを表示および送信することはできません。
以下に挙げる一般的な構成上の問題は、datadog-agent セットアップで何重にもチェックすることをお勧めします。
datadog.yaml で api_key が定義されているかをチェックします。
datadog.yaml で logs_enabled: true が設定されているかをチェックします。
デフォルトでは、Agent はログを収集しません。Agent の conf.d/ ディレクトリに、logs セクションと適切な値が含まれた .yaml ファイルが少なくとも 1 つあることを確認します。
構成ファイルで何らかの .yaml パースエラーが発生することがあります。YAML には細かな注意が必要なため、疑わしい場合は、YAML 検証ツールを使用してください。
問題について記述されたエラーがログに含まれている場合があります。次のコマンドを実行して、このようなエラーをチェックします。
sudo cat /var/log/datadog/agent.log | grep ERROR
Docker ログ収集のトラブルシューティングガイドをご参照ください
Lambda ログ収集のトラブルシューティングガイドをご参照ください
ログが Datadog Live Tail に表示されることをチェックします。Live Tail に表示される場合は、インデックス構成ページで、いずれかの除外フィルターがログと一致していないかどうかをチェックしてください。
