排错：Windows系统异常导致Filebeat无法正常运行

Windows 下Filebeat排错Case实例一份，请查收。

问题描述：

Windows Server下Filebeat Agent服务无法正常启动，导致网络数据打点无法正常进行，影响大范围用户网络使用等；

报错信息如下：

查看对应log文件，日志信息如下：

2019-03-04T11:38:14+08:00 INFO Home path: [C:\Program Files\Filebeat] Config path: [C:\Program Files\Filebeat] Data path: [C:\\ProgramData\\filebeat] Logs path: [C:\Program Files\Filebeat\logs]
2019-03-04T11:38:14+08:00 INFO Setup Beat: filebeat; Version: 5.1.2
2019-03-04T11:38:14+08:00 INFO Max Retries set to: 3
2019-03-04T11:38:14+08:00 INFO Activated logstash as output plugin.
2019-03-04T11:38:14+08:00 INFO Publisher name: "server name"
2019-03-04T11:38:14+08:00 INFO Flush Interval set to: 1s
2019-03-04T11:38:14+08:00 INFO Max Bulk Size set to: 2048
2019-03-04T11:38:14+08:00 INFO filebeat start running.
2019-03-04T11:38:14+08:00 INFO Registry file set to: C:\ProgramData\filebeat\registry
2019-03-04T11:38:14+08:00 INFO Loading registrar data from C:\ProgramData\filebeat\registry
2019-03-04T11:38:14+08:00 ERR Error decoding old state: invalid character '\x00' looking for beginning of value
2019-03-04T11:38:14+08:00 INFO Total non-zero values:
2019-03-04T11:38:14+08:00 INFO Uptime: 42.0006ms
2019-03-04T11:38:14+08:00 INFO filebeat stopped.
2019-03-04T11:38:14+08:00 CRIT Exiting: Could not start registrar: Error loading state: Error decoding states: invalid character '\x00' looking for beginning of value

环境（软件/硬件）：

Windows Server 2016 、Filebeat 5.1.2

---

原因分析：

因补丁更新、系统异常重启、服务进程异常中断、用户权限、服务目录权限调整等等原因导致Filebeat Agent注册服务信息无法正常加载。

1.查看当前服务器系统日志，发现有大量filebeat服务意外停止报错，事件ID 7000、7034：

此时我们按照该内容指引排查系统是否有异常日志信息，发现某时间段有意外关闭操作，如下：

2.查看filebeat对应logs日志信息，目录位置：C:\ProgramData\filebeat\Logs：

默认日志文件中会记录整个filebeat安装配置等信息，发现有如下错误信息：

INFO Loading registrar data from C:\ProgramData\filebeat\registry
ERR Error decoding old state: invalid character '\x00' looking for beginning of value
INFO Total non-zero values:

这期间尝试卸载并重新安装filebeat agent，发现依旧无法重新启动该服务。

---

解决步骤：

1.我们按照报错提示内容查看filebeat配置路径文件变化，发现默认通过powershell卸载filebeat并不会删除C:\ProgramData\filebeat\registry注册信息；这里我们尝试直接删除C:\ProgramData\下filebeat目录信息；

2.重新安装filebeat Agent并重启对应filebeat服务，发现无异常，后台恢复正常。(PS.因第一时间恢复业务，部分内容无备档，只能用恢复服务后截图补充，请知悉。)

注：生产环境建议对核心业务、核心服务等进行进行监控，同时要定时关注对应日志文件存放目录、Logs文件大小设置等等，提前预判并规避不必要的业务宕机时间等。

欢迎关注微信公众号：小温研习社