Monitoring Splunk

splunkdが起動しません

cwl
Contributor

マシンが古くなり、Splunkを新しいマシンに移行するため、etcとvar/libを古い環境のWindows 2008からSplunk 6.1.5を新しくインストールしたWindows 2008 R2にコピーし、Splunkを起動してみたことろ、splunkdだけが起動しませんでした。

既にindex内に重複したbucket idのbucketはないことを確認したが、他に確認すべき箇所はありますでしょうか?

Tags (2)
1 Solution

Suda
Communicator

次の点を確認されてはいかがでしょうか?

  1. コマンドプロンプトから、splunk.exe restartを実行し、その時に出力されるメッセージ
  2. splunkd.logの出力内容
  3. var/libを元に戻したら起動するか?
  4. etcを元に戻して、var/libだけ引き継いだ状態で起動するか?

残念ながら、起動しない理由に心当たりはありませんので、メッセージ、ログなどから、原因を探されては、いかがでしょうか?

ご検討ください。

View solution in original post

0 Karma

cwl
Contributor

以下のケースもsplunkdが起動しないことが分かったので念のため、共有させて頂きます。

audit event signing(http://docs.splunk.com/Documentation/Splunk/6.1.5/Security/Signauditevents)が有効になっていて、SPLUNK_HOME/etc/auth/audit内のキーが破損しているときもsplunkdが起動しませんでした。

以下の手順で再びsplunkdを起動させることに成功しました。

  1. "splunk.exe stop"でsplunkを停止
  2. 既存のSPLUNK_DB/persistentstorage/audit/seqnum_localhost.datをSPLUNK_HOMEやSPLUNK_DB以外のディレクトリに移動
  3. 既存のSPLUNK_HOME/etc/auth/auditをSPLUNK_HOMEやSPLUNK_DB以外のディレクトリに移動
  4. "splunk.exe createssl audit-keys"でキーを再生成
  5. "splunk.exe start"でsplunkを起動
  6. "splunk.exe status"でsplunkdが起動したことを確認
0 Karma

Suda
Communicator

次の点を確認されてはいかがでしょうか?

  1. コマンドプロンプトから、splunk.exe restartを実行し、その時に出力されるメッセージ
  2. splunkd.logの出力内容
  3. var/libを元に戻したら起動するか?
  4. etcを元に戻して、var/libだけ引き継いだ状態で起動するか?

残念ながら、起動しない理由に心当たりはありませんので、メッセージ、ログなどから、原因を探されては、いかがでしょうか?

ご検討ください。

0 Karma

cwl
Contributor

Sudaさん、アドバイスどうもありがとうございます。

その後、いろいろ調べたところ、原因はindexes.confのcoldToFrozenDirにありました。

splunk.exe stopを実行してから、splunk.exe startを実行しても、コマンドプロンプト上にエラーは表示されませんでしたが、splunk.exe statusを実行したところでは、やはり"Splunkd: Stopped"が表示されました。

次に、splunkd.logの内容を確認したところ、以下のエラーが表示されていたため、新しい環境では、古い環境のindexes.confで指定したcoldToFrozenDirのディレクトリ(e:\splunk\cold\proxy)が存在しないことに気付き、coldToFrozenDirに新しい環境で存在するディレクトリ(c:\splunk\cold\proxy)に修正したところ、splunkdが無事起動しました!

01-07-2015 18:46:08.818 +0900 ERROR IndexConfig - In index 'proxy': Failed to create directory 'e:\splunk\cold\proxy' (The device is not ready.)
01-07-2015 18:46:08.818 +0900 ERROR IndexProcessor - Index configuration error: In index 'proxy': Failed to create directory 'e:\splunk\cold\proxy' (The device is not ready.)
01-07-2015 18:46:08.818 +0900 ERROR pipeline - Index configuration error: In index 'proxy': Failed to create directory 'e:\splunk\cold\proxy' (The device is not ready.)
01-07-2015 18:46:08.818 +0900 ERROR PipelineComponent - The pipeline indexerPipe threw an exception during initialize
0 Karma

Suda
Communicator

起動できるようになって、良かったですね。

また、原因について共有いただき、ありがとうございます。参考にさせていただきます。

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...