Monitoring Splunk

7.0.xと7.1.xでメモリーが定期的に消費されているように見受けられますが、なぜでしょうか?

nfutatsugi_splu
Splunk Employee
Splunk Employee

従来のバージョンと比べて、7.0.xや7.1.xではメモリーが定期的に消費されているように見受けられます。なぜでしょうか?

0 Karma
1 Solution

nfutatsugi_splu
Splunk Employee
Splunk Employee

これは既知の問題 SPL-155106 によるものの可能性があり、7.0.5と7.1.2で修正される予定です。
デフォルトで有効の、conditional_expansionという機能を実行時に発生するメモリーリークに起因します。
$SPLUNK_HOME/etc/system/local/limits.conf ファイルでenable_conditional_expansion機能を無効にすることで回避することができます。

[search]
enable_conditional_expansion_filter = false

こちらは隠しオプションのため、設定後下記のようなエラーが表示されますが、設定として有効になっている状態になります。

Invalid key in stanza [search] in /app/splunk/etc/system/local/limits.conf, line xxx: enable_conditional_expansion_filter (value: false)

こちらの現象はOS問わず発生し、Universal Forwarderは対象外となります。
現在のところ、このオプション以外で同様の不具合が発生する事象はございません。

conditional_expansion_filter は検索のSPLを解析・最適化するための機能の一つでありますため、本機能を無効にすることで、検索時のパフォーマンスに多少影響する可能性がありますが、検索結果に影響を及ぼすことはありません。

問題が解消されたバージョンへアップデート後に、enable_conditional_expansion_filterの設定を削除してください。(再び有効にします)

View solution in original post

nfutatsugi_splu
Splunk Employee
Splunk Employee

これは既知の問題 SPL-155106 によるものの可能性があり、7.0.5と7.1.2で修正される予定です。
デフォルトで有効の、conditional_expansionという機能を実行時に発生するメモリーリークに起因します。
$SPLUNK_HOME/etc/system/local/limits.conf ファイルでenable_conditional_expansion機能を無効にすることで回避することができます。

[search]
enable_conditional_expansion_filter = false

こちらは隠しオプションのため、設定後下記のようなエラーが表示されますが、設定として有効になっている状態になります。

Invalid key in stanza [search] in /app/splunk/etc/system/local/limits.conf, line xxx: enable_conditional_expansion_filter (value: false)

こちらの現象はOS問わず発生し、Universal Forwarderは対象外となります。
現在のところ、このオプション以外で同様の不具合が発生する事象はございません。

conditional_expansion_filter は検索のSPLを解析・最適化するための機能の一つでありますため、本機能を無効にすることで、検索時のパフォーマンスに多少影響する可能性がありますが、検索結果に影響を及ぼすことはありません。

問題が解消されたバージョンへアップデート後に、enable_conditional_expansion_filterの設定を削除してください。(再び有効にします)

cipherjake
Explorer

soskaykakehiさんと同様にメモリリークの問題で7.1.2の導入を検討しております。
7.1.2で本issueが修正されているか教えて頂けないでしょうか?

0 Karma

cwl
Contributor

はい、7.1.2には本事象の修正が含まれています。

soskaykakehi
Path Finder

Splunk7.1.2がリリースされましたが、Fixed Issuesの一覧に「SPL-155106」が見当たりません。
Splunk7.1.2ではまだ修正されていないと考えてよろしいでしょうか。

0 Karma

cwl
Contributor

7.1.2には修正されています。fixed issuesには近々反映されるはずです。

soskaykakehi
Path Finder

リプライありがとうございます。了解しました、リリースノート反映を待ちます。

0 Karma
Get Updates on the Splunk Community!

.conf24 | Day 0

Hello Splunk Community! My name is Chris, and I'm based in Canberra, Australia's capital, and I travelled for ...

Enhance Security Visibility with Splunk Enterprise Security 7.1 through Threat ...

(view in My Videos)Struggling with alert fatigue, lack of context, and prioritization around security ...

Troubleshooting the OpenTelemetry Collector

  In this tech talk, you’ll learn how to troubleshoot the OpenTelemetry collector - from checking the ...