哈喽大家好,我是咸鱼
今天跟大家分享一个使用 Python 的 logging 模块写入日志文件时遇到的权限问题,不知道你们有没有遇到过
1.案例现象
今天上班的时候手机短信收到了 zabbix 告警,但是发现了不对劲的地方:微信没有收到告警信息,按理说短信跟微信应该是同时收到告警信息的
咸鱼这边的 zabbix 是通过一个 python 脚本实现连接微信接口并向微信发送告警消息
上 zabbix 看看 action log
发现 zabbix 发送告警到微信的操作执行失败了,报错如下:
Traceback (most recent call last):
File "/home/zabbix/alert.py", line 24, in <module>
logger = create_logger(log_path)
File "/home/zabbix/alert.py", line 10, in create_logger
file_handler = logging.FileHandler(log_path)
File "/usr/lib64/python3.9/lib/python3.9/logging/__init__.py", line 1142, in __init__
StreamHandler.__init__(self, self._open())
File "/usr/lib64/python3.9/lib/python3.9/logging/__init__.py", line 1171, in _open
return open(self.baseFilename, self.mode, encoding=self.encoding,
PermissionError: [Errno 13] Permission denied: '/var/log/myapp/myapp_20230525.log'
2.定位问题
在开始定位前先介绍一下 zabbix 发送告警信息到微信的流程:
- zabbix 调用
/home/zabbix/alert.py脚本实现告警信息发送到微信 /home/zabbix/alert.py脚本的大体逻辑就是首先通过 logging 模块将告警内容写进本地日志,然后返回一个 logger 对象- 再将 logger 对象以及其他参数传进
send_msg函数里面,将告警信息发送到微信端
python 脚本 alert.py中创建并写入日志文件的代码如下:
import logging
import time
...
...
def create_logger(log_path):
# 创建一个 logger 对象
logger = logging.getLogger(__name__)
logger.setLevel(logging.DEBUG)
# 创建一个文件处理器,将日志写入指定的文件中
file_handler = logging.FileHandler(log_path)
file_handler.setLevel(logging.DEBUG)
# 创建一个格式化器,定义日志的格式
formatter = logging.Formatter('%(asctime)s - %(levelname)s - %(message)s')
file_handler.setFormatter(formatter)
# 将文件处理器添加到 logger 对象中
logger.addHandler(file_handler)
return logger
if __name__ == '__main__':
log_path = '/var/log/myapp/myapp_%s.log' % time.strftime('%Y%m%d', time.localtime())
logger = create_logger(log_path)
...
看报错信息里面有 PermissionError ,首先定位到应该是权限问题
看下这个日志文件的信息
[root@localhost /var/log/myapp]# ll /var/log/myapp/myapp_20230525.log
-rw-r--r-- 1 root root 300 5月 25 14:09 /var/log/myapp/myapp_20230525.log
可以看到属主属组都是 root,其他用户只有读的权限
我们再来看一下 zabbix 进程
[root@localhost /var/log/myapp]# ps -ef | grep [z]abbix
zabbix 31076 1 0 3月16 ? 00:00:00 /usr/sbin/zabbix_server -c /etc/zabbix/zabbix_server.conf
可以看到 zabbix 进程是 zabbix 用户启动的,因为 /var/log/myapp/myapp_20230525.log 的权限是644且属主属组都是 root
所以说 zabbix 用户调用 alert.py 脚本时发现写入日志因为没有权限而失败,导致脚本运行崩溃
3.排查问题
到这里基本就能知道是什么原因了,但是还有一点疑问:只有 /var/log/myapp/myapp_20230525.log 这个日志的属主属组都是 root ,其余日志文件都是 zabbix
我们知道,在 Python 的 logging 模块中,日志文件的属主是由操作系统的文件系统决定的,而不是由 logging 模块本身决定。当使用 logging 模块创建日志文件时,它会使用操作系统提供的默认文件创建方式。
这意味着日志文件的属主将取决于当前运行 Python 程序的用户或进程的权限和身份。
看样子应该是有人使用 root 用户执行过这个 python 脚本,导致生成的这个日志文件 myapp_20230525.log 属主是 root,后面等 zabbix 自己去执行这个脚本(zabbix 用户)的时候发现没有权限写东西进 myapp_20230525.log 里面,这才导致微信收不了告警信息
后面拷打了一下同事(其实是执行了 history 命令看操作记录 )才知道昨晚同事在终端上手动跑了一下这个 python 脚本,又因为默认登录用户是 root,导致生成的日志文件属主属组都是 root
如何解决:修改一下日志文件的属主属组即可
chown zabbix.zabbix /var/log/myapp/myapp_20230525.log
