- Splunk Answers
- :
- Splunk Administration
- :
- Getting Data In
- :
- Re: 通信がうまくいかない
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
VMware player上で仮想マシンを2台立ち上げて、Splunkを動かそうとしています。
windows7をSplunkをインストールしreceiver、UbuntuにUniversal Forwarderをインストールして、解説を参考に両方とも設定を行いましたがSplunk側がforwarderを見つけてくれません。
windows側にはSplunk for Unix and linuxとSplunk Tecknology Add-on for unix and Linux Ubuntu側にはSplunk Tecknology Add-on for unix and Linux のAPPをインストールしています。
ファイヤーウォールは無効化しています。
何か助言等お願いします。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Windows7をIndexer(IDX), CentOSをUniversal Forwarder(UF)として、設定する際のざっくりとしてた手順は以下の流れです。
- Win7にSplunkをインストールし、Unix Appもインストール、Splunkの再起動
- Win7上で受信ポートをOpen(9997)
CentOSにUFをイントールし, outputs.conf(etc/system/local以下など)を作成編集して、データ転送の設定をして、再起動して有効化
[tcpout:group1]
server=172.16.220.128:9997TA for UnixをCentosにインストール(tar -xvf でetc/apps以下に展開)し、Splunk_TA_nix/local以下で、apps.conf(taの有効化)と、inputs.conf(データ取り込み設定の有効化)を設定し、ufを再起動
# pwd
/opt/splunkforwarder/etc/apps/Splunk_TA_nix/local# cat app.conf
[install]
is_configured = true# cat inputs.conf | head -10
[script://./bin/vmstat.sh]
disabled = 0[script://./bin/iostat.sh]
disabled = 0[script://./bin/ps.sh]
disabled = 0
...つづく
以上で、設定は完了なのですが、確認するポイントは、手順3でしょうか。
CentOSからWindowsにデータを転送する設定がされているか確認してみてください。
Win7上のSplunkから、以下をサーチしてみて、Win7以外からのHostが見えているか確認してみるのも簡単な確認方法です。
index=_internal | stats count by host
host count
--- --------------- -----
1 WIN-DEEFAFD6BQ8 15305
2 centos 708
確認してうまくいかないようでしたら、追加commentしてみてくださいませ。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
compressをはずしたところ、Ubuntuを認識しました。
あとでCompressedについても設定してみたいと思います。
とりあえずは認識したので、よかったです。
HiroshiSatohさま、melonmanさま
長い間対応していただき本当にありがとうございました。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
こちらこそ!
もし回答に問題がなければ、回答の横のチェックマークをクリックしていただければ、解決済みとなりますので、チェックいただけると嬉しいです。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
SSLのエラーに変わってますね。「元うなぎ屋」さんのブログが参考になりませんか?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
UF側
ERROR TcpInputFd - SSL Error = error:140760FC:SSL routines:SSL23GETCLIENTHELLO:unknown protocol
ERROR ExecProcessor - message from "/opt/splunkforwarder/etc/apps/SplunkTA_nix/bin/lastlog.sh" awk: run time error: negative field index $-2
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
splunkd.logのエラー内容が変わってました。
IDX側
ERROR TcpInputProc - Failed to resurrect 70 byte message! from src=192.168.127.137:55516
ERROR S2S - Mismatch in configuration between forwarder and indexer. Expecting uncompressed data, but forwarder configured to send compressed data
ERROR TcpInputProc - Received unrecognized signature --splunk-cooked-mode-v2--:C! from src=192.168.127.137:55518
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Receiver側を見つけられてないですね。melonmanさんのレスで再確認を!
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Windows7をIndexer(IDX), CentOSをUniversal Forwarder(UF)として、設定する際のざっくりとしてた手順は以下の流れです。
- Win7にSplunkをインストールし、Unix Appもインストール、Splunkの再起動
- Win7上で受信ポートをOpen(9997)
CentOSにUFをイントールし, outputs.conf(etc/system/local以下など)を作成編集して、データ転送の設定をして、再起動して有効化
[tcpout:group1]
server=172.16.220.128:9997TA for UnixをCentosにインストール(tar -xvf でetc/apps以下に展開)し、Splunk_TA_nix/local以下で、apps.conf(taの有効化)と、inputs.conf(データ取り込み設定の有効化)を設定し、ufを再起動
# pwd
/opt/splunkforwarder/etc/apps/Splunk_TA_nix/local# cat app.conf
[install]
is_configured = true# cat inputs.conf | head -10
[script://./bin/vmstat.sh]
disabled = 0[script://./bin/iostat.sh]
disabled = 0[script://./bin/ps.sh]
disabled = 0
...つづく
以上で、設定は完了なのですが、確認するポイントは、手順3でしょうか。
CentOSからWindowsにデータを転送する設定がされているか確認してみてください。
Win7上のSplunkから、以下をサーチしてみて、Win7以外からのHostが見えているか確認してみるのも簡単な確認方法です。
index=_internal | stats count by host
host count
--- --------------- -----
1 WIN-DEEFAFD6BQ8 15305
2 centos 708
確認してうまくいかないようでしたら、追加commentしてみてくださいませ。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Compressedをしていしているので、Indexer側(Win7)側のinputs.confの[splunktcp:9997]の設定が入っている所にも、Compressedの設定を入れる必要がありあますね。
設定ファイルの詳細仕様は、$SPLUNK_HOME/etc/system/README 以下にはいっていますので、参考にしてみてください。
それか、一旦compressを外してみてためしていただければと。
おそらく/var/log/messagesも監視されているとおもうので、loggerで適当なメッセージをいれれば、Seach画面にすぐでてくるとおもいますよ。
-- outputs.conf.spec
compressed = [true|false]
* Applies to non-SSL forwarding only. For SSL useClientSSLCompression setting is used.
* If true, forwarder sends compressed data.
* If set to true, the receiver port must also have compression turned on (in its inputs.conf file).
* Defaults to false.
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
返信ありがとうございます。
手順1,2は記述のとおりです。
手順3を参考に確認しました。 インストール時に設定しましたが、以下のとおりになっています。
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = 192.168.127.128:9997 compressed = true
[tcp-server://192.168.127.128:9997]
手順4を参考に確認したところSplunkTAnix/local以下に apps.confが存在しなかったので、ここでも記述どおりに作成しました。inputs.confについては記述のとおりになっていました。
IDX、UF両方とも再起動をかけましたが、Ubuntu(Forwarder)が見つかりませんでした。
Win7上のSplunkから、index=_internal | stats count by hostでサーチしてみましたが、Ubuntuは表示されませんでした。
うまくいかないようです。ほかにはどんな問題が考えられますか?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Forwarder側のsplunkd.logを確認したところ、以下のエラーが5分ごとに出ていました。
08-23-2013 15:10:07.569 +0900 ERROR TcpOutputProc - Can't find or illegal IP address or Name: splunk.example.jp
ちなみにReceiver側のSplunk サーバー名 はsplunk.example.jpになっています。
助言お願いします。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
「splunkd.log」等に何かエラーが出力されてませんか?
Webinar Recap | Revolutionizing IT Operations: The Transformative Power of AI and ML ...
.conf24 | Registration Open!
ICYMI - Check out the latest releases of Splunk Edge Processor
