Installation

DBX ver.2.4.0 から ver.3.0.0 へアップグレード後に DB input の実行に失敗する

CurryPan
Communicator

Splunk app for DB Connect をバージョン 2.4.0 から バージョン 3.0.0 へとアップグレードを行い、アップグレードは成功したように見えました。しかしながら、その後、DB input の実行を確認したところ splunk_app_db_connect_server.log に、下記のエラーメッセージが出力されており DB inputに失敗してしまいます。

2017-02-27 11:58:44.459 -0700  [QuartzScheduler_Worker-3] ERROR org.easybatch.core.job.BatchJob - Unable to open record reader
com.splunk.dbx.exception.TechnicalException: java.io.FileNotFoundException: File /opt/splunk/var/lib/splunk/modinputs/server/splunk_app_db_connect/mssql_local_vm2008_table does not exist
    at com.splunk.dbx.server.dbinput.task.DbInputCheckpointManager.load(DbInputCheckpointManager.java:139)
    at com.splunk.dbx.server.dbinput.task.DbInputTask.loadCheckpoint(DbInputTask.java:88)
    at com.splunk.dbx.server.dbinput.recordreader.DbInputRecordReader.open(DbInputRecordReader.java:57)
    at org.easybatch.core.job.BatchJob.openReader(BatchJob.java:117)
    at org.easybatch.core.job.BatchJob.call(BatchJob.java:74)
    at org.easybatch.extensions.quartz.Job.execute(Job.java:59)
    at org.quartz.core.JobRunShell.run(JobRunShell.java:202)
    at org.quartz.simpl.SimpleThreadPool$WorkerThread.run(SimpleThreadPool.java:573)
Caused by: java.io.FileNotFoundException: File /opt/splunk/var/lib/splunk/modinputs/server/splunk_app_db_connect/mssql_local_vm2008_table does not exist
    at com.splunk.dbx.server.dbinput.task.DbInputCheckpointManager.loadImpl(DbInputCheckpointManager.java:260)
    at com.splunk.dbx.server.dbinput.task.DbInputCheckpointManager.load(DbInputCheckpointManager.java:132)
    ... 7 common frames omitted
2017-02-27 11:58:44.459 -0700  [QuartzScheduler_Worker-3] INFO  org.easybatch.core.job.BatchJob - Job 'MSSQL_local_VM2008_Table' finished with status: FAILED

原因と対策を教えてください。

Labels (1)
1 Solution

CurryPan
Communicator

本事象は、DBX-3871として報告されている既知の製品不具合です。アップグレード時にチェックポイントのファイルが大文字で作成してしまうことが原因で、DBX が DB input の情報を正しく認識できずに DB input の実行に失敗します。

本不具合は、Splunk app for DB Connect バージョン 3.0.1 にて改修されます。
修正パッチ提供までの Workaround としては、$SPLUNK_HOME/var/lib/splunk/modinputs/server/splunk_app_db_connect 配下のファイル名を全て大文字から小文字に変更することでエラーの出力を止めることが可能です。

なお、本不具合は *nix 環境でのみ発生します。Windows 環境では問題は再現しません。

View solution in original post

CurryPan
Communicator

本事象は、DBX-3871として報告されている既知の製品不具合です。アップグレード時にチェックポイントのファイルが大文字で作成してしまうことが原因で、DBX が DB input の情報を正しく認識できずに DB input の実行に失敗します。

本不具合は、Splunk app for DB Connect バージョン 3.0.1 にて改修されます。
修正パッチ提供までの Workaround としては、$SPLUNK_HOME/var/lib/splunk/modinputs/server/splunk_app_db_connect 配下のファイル名を全て大文字から小文字に変更することでエラーの出力を止めることが可能です。

なお、本不具合は *nix 環境でのみ発生します。Windows 環境では問題は再現しません。

ejenson_splunk
Splunk Employee
Splunk Employee

Does anyone happen to have this answer in English?

0 Karma

melonman
Motivator

Google Translate button is your friend!
You can find Google Translate dropdown on the Top Right of each answer page.

-- translated...

This event is a known product defects that have been reported as DBX-3871. At the check point of the file is in due to the fact that would create in capital letters to upgrade, DBX will fail to run the DB input to it can not properly recognize the information of the DB input.

This bug will be renovated by the Splunk app for DB Connect version 3.0.1.
The Workaround until the patch provided, it is possible to stop the output of the error by changing to lowercase from all the file names under $ SPLUNK_HOME / var / lib / splunk / modinputs / server / splunk_app_db_connect case.

It should be noted that the present problem occurs only in the * nix environment. It does not reproduce the problem in the Windows environment.

0 Karma

jxue318
Engager

DBX V3.0.1 is not compatible to version 2, before patch available, the workaround is to change all the files under $SPLUNK_HOME/var/lib/splunk/modinputs/server/splunk_app_db_connect from cap to small case.

0 Karma

ejenson_splunk
Splunk Employee
Splunk Employee

Found a translator on the web.

0 Karma
Get Updates on the Splunk Community!

Enterprise Security Content Update (ESCU) | New Releases

In December, the Splunk Threat Research Team had 1 release of new security content via the Enterprise Security ...

Why am I not seeing the finding in Splunk Enterprise Security Analyst Queue?

(This is the first of a series of 2 blogs). Splunk Enterprise Security is a fantastic tool that offers robust ...

Index This | What are the 12 Days of Splunk-mas?

December 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...