https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452719#M13243 <P><STRONG>Summary of the issue:</STRONG><BR /> Splunk 6.0.0 - Splunk 7.2.1 defaults to using <STRONG>init.d</STRONG> when enabling boot start<BR /> Splunk 7.2.2 - Splunk 7.2.9 defaults to using <STRONG>systemd</STRONG> when enabling boot start<BR /> Splunk 7.3.0 - Splunk 8.x defaults to using <STRONG>init.d</STRONG> when enabling boot start</P> <P><STRONG>systemd</STRONG> defaults to prompting for root credentials upon stop/start/restart of Splunk</P> <P>Here is a simple fix if you have encountered this issue and prefer to use the traditional <STRONG>init.d</STRONG> scripts vs <STRONG>systemd</STRONG>. </P> <P><STRONG>Splunk Enterprise/Heavy Forwarder example</STRONG> (note: replace the splunk user below with the account you run splunk as):</P> <PRE><CODE>sudo /opt/splunk/bin/splunk disable boot-start sudo /opt/splunk/bin/splunk enable boot-start -user splunk -systemd-managed 0 </CODE></PRE> <P><STRONG>Splunk Universal Forwarder example</STRONG> (note: replace the splunk user below with the account you run splunk as):</P> <PRE><CODE>sudo /opt/splunkforwarder/bin/splunk disable boot-start sudo /opt/splunkforwarder/bin/splunk enable boot-start -user splunk -systemd-managed 0 </CODE></PRE> Tue, 31 Dec 2019 18:55:02 GMT bandit 2019-12-31T18:55:02Z https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452717#M13241 <P>CentOS に 7.2.3 の Splunk Forwarder をインストールし、以下のマニュアルに記載された手順をもとに fowarder を systemd のサービスとして登録しました。<BR /> <A href="https://docs.splunk.com/Documentation/Splunk/7.2.3/Admin/RunSplunkassystemdservice">https://docs.splunk.com/Documentation/Splunk/7.2.3/Admin/RunSplunkassystemdservice</A></P> <P>但し、"systemctl stop Splunkd.service" で forwarder を停止しようとしたときに、splunkのプロセスが強制終了されているように見えます。<BR /> 強制終了ではなく、"./splunk stop"のように終了する方法はありますでしょうか。</P> Fri, 22 Mar 2019 03:37:31 GMT https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452717#M13241 cweiliou_splunk 2019-03-22T03:37:31Z https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452718#M13242 <P>splunkd プロセスが強制終了される理由としては、systemd が SIGTERM シグナルを送っているためです。<BR /> SIGTERM を SIGINT に変更することで強制終了の問題を回避することができます。<BR /> なお、splunk の unit ファイルに「KillMode=mixed」および「KillSignal=SIGINT」を追加することで、SIGTERM から SIGINT に変更できます。</P> <PRE><CODE># cat /etc/systemd/system/Splunkd.service #This unit file replaces the traditional start-up script for systemd #configurations, and is used when enabling boot-start for Splunk on #systemd-based Linux distributions. [Unit] Description=Systemd service file for Splunk, generated by 'splunk enable boot-start' After=network.target [Service] Type=simple Restart=always ExecStart=/home/splunk/723_so/splunk/bin/splunk _internal_launch_under_systemd LimitNOFILE=65536 SuccessExitStatus=51 52 RestartPreventExitStatus=51 RestartForceExitStatus=52 User=splunk Delegate=true MemoryLimit=100G CPUShares=1024 PermissionsStartOnly=true ExecStartPost=/bin/bash -c "chown -R splunk:splunk /sys/fs/cgroup/cpu/system.slice/%n" ExecStartPost=/bin/bash -c "chown -R splunk:splunk /sys/fs/cgroup/memory/system.slice/%n" KillMode=mixed KillSignal=SIGINT [Install] WantedBy=multi-user.target </CODE></PRE> <P>また、splunk がシャットダウンに時間がかかる場合でも、強制終了される可能性がありますので、その際には、unitファイルに「TimeoutStopSec」を追加し、timeoutの時間を増やしてください。</P> Fri, 22 Mar 2019 03:55:27 GMT https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452718#M13242 cweiliou_splunk 2019-03-22T03:55:27Z https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452719#M13243 <P><STRONG>Summary of the issue:</STRONG><BR /> Splunk 6.0.0 - Splunk 7.2.1 defaults to using <STRONG>init.d</STRONG> when enabling boot start<BR /> Splunk 7.2.2 - Splunk 7.2.9 defaults to using <STRONG>systemd</STRONG> when enabling boot start<BR /> Splunk 7.3.0 - Splunk 8.x defaults to using <STRONG>init.d</STRONG> when enabling boot start</P> <P><STRONG>systemd</STRONG> defaults to prompting for root credentials upon stop/start/restart of Splunk</P> <P>Here is a simple fix if you have encountered this issue and prefer to use the traditional <STRONG>init.d</STRONG> scripts vs <STRONG>systemd</STRONG>. </P> <P><STRONG>Splunk Enterprise/Heavy Forwarder example</STRONG> (note: replace the splunk user below with the account you run splunk as):</P> <PRE><CODE>sudo /opt/splunk/bin/splunk disable boot-start sudo /opt/splunk/bin/splunk enable boot-start -user splunk -systemd-managed 0 </CODE></PRE> <P><STRONG>Splunk Universal Forwarder example</STRONG> (note: replace the splunk user below with the account you run splunk as):</P> <PRE><CODE>sudo /opt/splunkforwarder/bin/splunk disable boot-start sudo /opt/splunkforwarder/bin/splunk enable boot-start -user splunk -systemd-managed 0 </CODE></PRE> Tue, 31 Dec 2019 18:55:02 GMT https://community.splunk.com/t5/Security/Splunk%E3%82%92systemd%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E5%81%9C%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%AE%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/452719#M13243 bandit 2019-12-31T18:55:02Z