- Find Answers
- :
- Splunk Administration
- :
- Monitoring Splunk
- :
- splunkdが起動しません
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
次の点を確認されてはいかがでしょうか?
- コマンドプロンプトから、splunk.exe restartを実行し、その時に出力されるメッセージ
- splunkd.logの出力内容
- var/libを元に戻したら起動するか?
- etcを元に戻して、var/libだけ引き継いだ状態で起動するか?
残念ながら、起動しない理由に心当たりはありませんので、メッセージ、ログなどから、原因を探されては、いかがでしょうか?
ご検討ください。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
以下のケースもsplunkdが起動しないことが分かったので念のため、共有させて頂きます。
audit event signing(http://docs.splunk.com/Documentation/Splunk/6.1.5/Security/Signauditevents)が有効になっていて、SPLUNK_HOME/etc/auth/audit内のキーが破損しているときもsplunkdが起動しませんでした。
以下の手順で再びsplunkdを起動させることに成功しました。
- "splunk.exe stop"でsplunkを停止
- 既存のSPLUNK_DB/persistentstorage/audit/seqnum_localhost.datをSPLUNK_HOMEやSPLUNK_DB以外のディレクトリに移動
- 既存のSPLUNK_HOME/etc/auth/auditをSPLUNK_HOMEやSPLUNK_DB以外のディレクトリに移動
- "splunk.exe createssl audit-keys"でキーを再生成
- "splunk.exe start"でsplunkを起動
- "splunk.exe status"でsplunkdが起動したことを確認
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
次の点を確認されてはいかがでしょうか?
- コマンドプロンプトから、splunk.exe restartを実行し、その時に出力されるメッセージ
- splunkd.logの出力内容
- var/libを元に戻したら起動するか?
- etcを元に戻して、var/libだけ引き継いだ状態で起動するか?
残念ながら、起動しない理由に心当たりはありませんので、メッセージ、ログなどから、原因を探されては、いかがでしょうか?
ご検討ください。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Sudaさん、アドバイスどうもありがとうございます。
その後、いろいろ調べたところ、原因はindexes.confのcoldToFrozenDirにありました。
splunk.exe stopを実行してから、splunk.exe startを実行しても、コマンドプロンプト上にエラーは表示されませんでしたが、splunk.exe statusを実行したところでは、やはり"Splunkd: Stopped"が表示されました。
次に、splunkd.logの内容を確認したところ、以下のエラーが表示されていたため、新しい環境では、古い環境のindexes.confで指定したcoldToFrozenDirのディレクトリ(e:\splunk\cold\proxy)が存在しないことに気付き、coldToFrozenDirに新しい環境で存在するディレクトリ(c:\splunk\cold\proxy)に修正したところ、splunkdが無事起動しました!
01-07-2015 18:46:08.818 +0900 ERROR IndexConfig - In index 'proxy': Failed to create directory 'e:\splunk\cold\proxy' (The device is not ready.)
01-07-2015 18:46:08.818 +0900 ERROR IndexProcessor - Index configuration error: In index 'proxy': Failed to create directory 'e:\splunk\cold\proxy' (The device is not ready.)
01-07-2015 18:46:08.818 +0900 ERROR pipeline - Index configuration error: In index 'proxy': Failed to create directory 'e:\splunk\cold\proxy' (The device is not ready.)
01-07-2015 18:46:08.818 +0900 ERROR PipelineComponent - The pipeline indexerPipe threw an exception during initialize
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
起動できるようになって、良かったですね。
また、原因について共有いただき、ありがとうございます。参考にさせていただきます。
Enterprise Security Content Update (ESCU) | New Releases
Why am I not seeing the finding in Splunk Enterprise Security Analyst Queue?
Index This | What are the 12 Days of Splunk-mas?
