Solved: Re: Heavy Forwarderの設定に関して

sunrise · ‎08-05-2013

可用性を高める為、Splunkサーバを2つ立て、
Heavy Forwarderで相互にデータを転送し合うような構成を考えています。
例えば立てるサーバをサーバA、サーバBの2つとした時、

サーバAで取り込んだデータをローカルインデックスに保存、かつサーバBに転送する。
サーバBで取り込んだデータをローカルインデックスに保存、かつサーバAに転送する。

といったことは可能でしょうか。
検証しているのですが、転送データがループしてしまうという事象が起きています。
おそらく一方向ならデータ転送が可能だと思うのですが、双方向の場合も可能でしょうか？

melonman · ‎08-07-2013

通常、複数のindexerにデータをクローンする場合には、forwarderを前段に配置して、データを同時に複数のindexerに投げるようにします。
おそらく、お考えの方法だと、確認していただいているようなうごきになってしまうので、forwarder 側でクローンするか、index replication(クラスタリング)を設定するかのいずれかのほうほうになるとおもいます。

View solution in original post

melonman · ‎08-07-2013

通常、複数のindexerにデータをクローンする場合には、forwarderを前段に配置して、データを同時に複数のindexerに投げるようにします。
おそらく、お考えの方法だと、確認していただいているようなうごきになってしまうので、forwarder 側でクローンするか、index replication(クラスタリング)を設定するかのいずれかのほうほうになるとおもいます。

sunrise · ‎08-06-2013

一度tcpoutを行い、2つのインデクサ（サーバA, サーバB）にデータを転送することができるのかもしれませんが、その場合データ取り込み量はダブルカウントされるのでしょうか。

Heavy Forwarderの設定に関して

Extending Observability Content to Splunk Cloud

More Control Over Your Monitoring Costs with Archived Metrics!

New in Observability Cloud - Explicit Bucket Histograms