Logstash报错：An unexpected error occurred! {:error=#RuntimeError: Logstash cannot be run as superuser.

问题现象

以root用户执行命令 ./logstash -e ''  报错

原因分析

收到这个错误，根本原因是您使用了 sudo 命令或者直接以 root 用户身份执行了 Logstash 测试命令。

例如，您可能执行了类似以下的命令：

sudo bin/logstash -e 'input { stdin { } } output { stdout {} }'
# 或者
sudo bin/logstash -t -f your_config.conf

解决方案

解决方案很简单：创建一个专用的普通用户来运行 Logstash。

请按照以下步骤操作：

1. 创建一个新的系统用户（例如 logstash）
   如果还没有专门用户，请创建一个。通常使用 --no-create-home 和 --shell /bin/false 选项来限制这个用户的权限，增强安全性。

   sudo useradd --system --no-create-home --shell /bin/false logstash

2. 更改 Logstash 目录及其文件的所有权
   将 Logstash 的安装目录（以及其需要读写的数据、日志目录）的所有权赋予新创建的用户。

   # 假设你的 Logstash 安装在 /usr/share/logstash
   sudo chown -R logstash:logstash /usr/share/logstash
   sudo chown -R logstash:logstash /var/lib/logstash  # 数据目录，如果存在
   sudo chown -R logstash:logstash /var/log/logstash  # 日志目录，如果存在

   注意：根据你的实际安装路径和配置进行调整。如果你使用 tar.gz 包安装，路径可能在你解压的目录下。

3. 以普通用户身份运行测试命令
   现在，切换到 logstash 用户或者使用 sudo -u 来执行命令。

   # 方式一：切换到 logstash 用户再执行

   sudo -u logstash bash
   cd /usr/share/logstash
   bin/logstash -e 'input { stdin { } } output { stdout {} }'

   # 方式二：直接使用 sudo -u 执行单条命令（更推荐）

   sudo -u logstash /usr/share/logstash/bin/logstash -e 'input { stdin { } } output { stdout {} }'

   # 测试配置文件语法

   sudo -u logstash /usr/share/logstash/bin/logstash -t -f /path/to/your_config.conf

4. （对于生产环境）配置 Systemd 服务文件
   如果你是通过官方包（如 RPM 或 DEB）安装的，通常已经自带了一个 systemd 服务文件（/etc/systemd/system/logstash.service），并且默认就是以 logstash 用户运行的。你只需要确保服务文件中的用户设置正确，然后使用 systemctl 来管理即可。

   # 启动 Logstash 服务
   sudo systemctl start logstash# 设置开机自启
   sudo systemctl enable logstash# 查看状态
   sudo systemctl status logstash

    

补充说明：为什么在测试时也会遇到？

即使你只是简单地测试 stdin/stdout，Logstash 的启动过程也会检查执行它的用户身份。这个安全检查发生在任何实际处理逻辑之前，所以即使是最简单的测试，只要是以 root 运行，就一定会被阻止。

总结

根本原因：使用了 sudo 或 root 用户直接运行 logstash 命令。
解决方案：

1. 为 Logstash 创建一个专用的非 root 用户（如 logstash）。

2. 将相关文件和目录的所有权赋予该用户。

3. 始终使用这个专用用户来启动、测试和运行 Logstash。

这样做不仅解决了眼前的错误，也遵循了服务器安全运维的最佳实践。