Problem mit Logwatch Event Console Forwarding im distributed Mnitoring nach Update auf 2.1.0p19

**CMK version: 2.1.0p19
**OS version: CentOS Linux release 7.9.2009

**Error message: “Forwarded 1 messages from /test/log.txt, Dropped 1 messages(!!)”

Hallo zusammen,

seit dem Update unserer Sites auf Version 2.1.0p19 haben wir ein
Problem mit dem Logwatch Event Console Forwarding.

• Es gibt eine zentrale CheckMK Instanz “zentral”
• Es gibt eine remote Instanz “remote”

Die “remote” Instanz ist über TCP Port 6557 mit der Instanz “zentral” angebunden.
Die Konfiguration der zentralen Instanz wird zur remote Instanz gepusht

Für die remote Instanz git es eine “Logwatch Event Console Forwarding” Rule, die alle Log Messages
bestimmter Server über TCP Port 514 an die zentrale Event Console weiterleitet.
Die Messages werden dort mit entsprechenden Rules und Alert Actions verarbeitet.

Das funktioniert auch nach dem Update auf 2.1 ohne Probleme.

Seit dem Update passiert aber Folgendes, wenn eine Logmeldung eines Servers verarbeitet wird,
der über “remote” Instanz angebunden ist:

• der “Log Forwarding” Service des Servers meldet Critical:
  “Forwarded 1 messages from /test/log.txt, Dropped 1 messages(!!)”

• Die Message wird korrekt an die “zentral” Instanz weitergeleitet und dort verarbeitet.

Ich habe die “Logwatch Event Console Forwarding” Rule testweise auf “Spool messages that could not be sent” eingestellt und sehe folgendes Verhalten:

• der “Log Forwarding” Service des Servers meldet Warning:
  “Forwarded 1 messages from /test/log.txt, Spooled 1 messages(!!)”

• auf der “remote” Instanz wird im Verzeichnis “~/var/check_mk/logwatch_spool/”
  ein Spoolfile angelegt

• Die Message wird korrekt an die “zentral” Instanz weitergeleitet und dort verarbeitet.

Allerdings werden dann bei jeder Ausführung des CheckMK Agenten alle Spoolfiles erneut an die
“zentrale” Instanz übertragen und dort verarbeitet. Die “remote” Instanz löscht die Spoolfiles
nicht.

Für mich sieht aus, als ob die “remote” Instanz keine Rückmeldung darüber erhält, daß die Message
auf der “zentral” Instanz verarbeitet wurde.

Kennt jemand dieses Problem oder kann mir einen Hinweis geben wie ich das weiter debuggen kann?

Gruss,
Olaf

Wir haben exakt das gleiche Problem seit dem Update auf 2.1.0p34 (wir kamen von 2.0.0p38). Wir prüfen das cmc.log über die Eventconsole über den forwarding Mechanismus von mehreren Remotes Sites, die auch so angebunden sind, wie vom Ersteller des Posts beschrieben.

Ich vermute, da hat sich ein Bug eingeschlichen, oder?

Hallo Axel,

Danke für Deine Antwort. Wir werden demnächst auf eine aktuellere Version
gehen und dann berichten, ob sich das Problem damit erledigt hat.

Gruss,
Olaf

Plant ihr auf 2.2.0 pxy zu gehen ? Dann wäre ich sehr an Feedback interessiert, ob es damit dann behoben ist. Wir planen aktuell das Update für Januar, weil dadurch ja die alte WebAPI komplett rausfliegt und wir da noch ein wenig an unseren Integrationen arbeiten müssen.