【排查案例】无认证集群空白分区创建元凶排查记录

前言

今天分享一个最近在生产环境排查的空白分区的问题，先说业务感知，业务那边反馈本身这条业务链每个小时数据应该是3个分区，但是在业务链末端的输出数据中产生了4个分区，其中一个是空白分区，目前业务能够确认那个空白分区压根是不需要的，但是并不确定是什么位置出现的这个分区。

集群的信息大概说明一下，首先没有开审计日志，其次没有开kerberos，也没有ranger这种权限管理，所以这块基本是没法从日志分析出操作细节的。

分区添加可以通过sparksql的thrift，也可能直接启了一个sparksql做操作，因此，接到这个问题以后感觉还是挺摸不着头脑的，但是只要是人做的就一定有蛛丝马迹存在，下面说一下我的整个排查过程。

正文

SparkSQL Thrift审计

集群有几个常驻的SparkSQL Thrift用来平时做一些快速查询，这几个是开了审计日志的，在问题传达到我这后我第一时间检查了审计日志，并没有相关分区的创建历史，因此直接排除通过thrift进行创建这条路

通过edit查找操作

前面已经说了，我们HDFS没有审计日志，并且NameNode日志是INFO级别，不会记录目录创建的信息，但是我们知道NameNode有一个edit可以记录一段时间内详细的操作信息，因此，我们可以优先根据分区信息，找到edit文件。

直接在hdfs列出指定日期下的空白分区的信息：

hadoop fs -ls /$path/2025-01-21/*|grep 100003

从中选择一个分区信息直接在NameNode的edit目录下grep搜索，然后将指定的edit解析成xml文件

hdfs oev -i edits_0000000105678248337-0000000105678297660 -o /data4/edit_bak/edits_1027.xml

下面是解析出来的xml种有关问题分区创建的信息：

  <RECORD>
    <OPCODE>OP_MKDIR</OPCODE>
    <DATA>
      <TXID>105678280997</TXID>
      <LENGTH>0</LENGTH>
      <INODEID>20403610530</INODEID>
      <PATH>$path</PATH>
      <TIMESTAMP>1737425813445</TIMESTAMP>
      <PERMISSION_STATUS>
        <USERNAME>mr</USERNAME>
        <GROUPNAME>users</GROUPNAME>
        <MODE>488</MODE>
      </PERMISSION_STATUS>
    </DATA>
  </RECORD>

这个操作的具体时间戳就拿到了，我们可以把操作的具体时间定位到秒级：

抓包分析请求

对于这种非安全集群，已有条件是不可能追踪请求的，但是我们可以通过tcpdump在NameNode进行抓包，来捕捉具体的请求，原因是客户端执行的操作质量都会经过NameNode，因此只要监听RPC端口就可以，分区的创建操作是每个小时都有，因此我们只需要抓一个小时做排查就行；

需要注意的是，tcpdump抓NameNode的请求包可能量很大，为了方便分析，我们最好分包保存

使用下面命令进行分包保存，筛掉本机的请求：

tcpdump -i bond0 -G 60 -nn 'host 10.0.0.1 and port 9000 and not src 10.0.0.1' -w tcpdump/capture_%H%M%S.pcap 

上面的命令解释一下：

• -i指定了网卡设备名称是bond0
• -G指定60秒滚动一个pcap文件
• -nn不使用主机名，而是直接使用ip
• 抓取host 10.0.0.1的9000端口并且源端ip不为10.0.0.1
• -w写入的pcap文件名，%H%M%S使用当前时间来命名文件

然后我们根据edit里面查到的分区创建操作，取对应时间的数据包做分析即可，下面是我们用wireshark拆包的界面：

这里请求是很多的，我们要用筛选器直接筛选数据包中包含我们业务分区的内容，在筛选框直接筛选：

data contains "partition=100003"

这里就抓到了mkdir操作创建了100003分区，并且所有请求都来自于一个NodeManager存算节点

到这里我们基本可以确认是Spark任务或者一个SparkSQL实例进行的分区创建，因为集群是Spark on Yarn，下一步我们直接通过NodeManager日志做进一步的排查

NodeManager日志追踪

到这里，我们只要找到指定发包时间的指定节点在进行什么操作连接NameNode就可以了，从抓包情况我们可以知道大概率是一个任务进行的操作，那么我们直接从NodeManager运行日志过滤10点以后得Start Container Request操作：

cat yarn-mr-NodeManager.log |grep "Start Container Request" > /tmp/nodemanager.log

我们将得到类似下面这样的日志信息：

2025-01-21 10:00:28,712 INFO org.apache.hadoop.yarn.server.nodemanager.NMAuditLogger: USER=mr   IP=10.0.0.4  OPERATION=Start Container Request       TARGET=ContainerManageImpl      RESULT=SUCCESS    APPID=application_1684894983964_217978895       CONTAINERID=container_e77_1684894983964_217978895_01_000127
2025-01-21 10:00:28,754 INFO org.apache.hadoop.yarn.server.nodemanager.NMAuditLogger: USER=mr   IP=10.0.0.4  OPERATION=Start Container Request       TARGET=ContainerManageImpl      RESULT=SUCCESS    APPID=application_1684894983964_217978895       CONTAINERID=container_e77_1684894983964_217978895_01_000126
2025-01-21 10:00:28,759 INFO org.apache.hadoop.yarn.server.nodemanager.NMAuditLogger: USER=mr   IP=10.0.0.4  OPERATION=Start Container Request       TARGET=ContainerManageImpl      RESULT=SUCCESS    APPID=application_1684894983964_217978895       CONTAINERID=container_e77_1684894983964_217978895_01_000125
2025-01-21 10:00:28,759 INFO org.apache.hadoop.yarn.server.nodemanager.NMAuditLogger: USER=mr   IP=10.0.0.4  OPERATION=Start Container Request       TARGET=ContainerManageImpl      RESULT=SUCCESS    APPID=application_1684894983964_217978895       CONTAINERID=container_e77_1684894983964_217978895_01_000128

其实我们只需要appid，所以也可以直接这样筛选出来：

cat yarn-mr-NodeManager.log|grep "2025-01-21 10"|grep "Start Container "|awk -F'APPID=' '{split($2, a, " "); if (a[1] != "") appid[a[1]]} END {for (id in appid) print id}'

因为每个任务的任务名都和其业务有关，所以接下来我们直接排查任务逻辑，就能够定位到具体的操作逻辑是谁做的了；

结论

最终，我确认到这个问题是由2年前的算法逻辑导致，对应SQL在执行具体业务逻辑前，对其前向表进行了分区添加操作：

后记

整个问题排查到这里就已经盖棺定论了，可以看出，一个大数据集群的权限管理以及审计系统真的非常重要，虽然因为历史原因这个集群无法再去做这些东西，但是如果有小伙伴在自建大数据平台，一定要注意这个。

另外，真的遇到问题的时候，还是要多思考，尤其是遇到这种周期出现的问题时，只要问题还没解决，那么就想办法做足准备，在下次发生时抓住罪魁祸首，这期间就要运用自己的知识技能理清整个数据流向、工作原理，将脉络清晰化，而不是像无头苍蝇一样乱撞。