LoginSignup
3
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@Kokin-chan

Splunk Indexer クラスター を GUIのみで構築してやるぜ ポチッとな

Posted at

0 目的

インデクサークラスタをCLIでなくGUIのみで構築できるか、確認
CLI便利だけど、しばらくするとコマンド忘れるのよね・・・

1 インフラ環境設定

デスクトップ(MacBookPro)上の仮想環境(VMware Fusion)にVMを7台(linux)用意
別にクラウドでも、コンテナでも、物理でもOK。
- SearchHead用 SH1, SH2
- Indexer用 IDX1,IDX2,IDX3
- LicenseServer用 mngt
- ClusterMaster用 cm
こんな感じ
image.png
リソースは適当に小さくてもOK
- CPU 1
- Memory 1024MB

2 Splunk インストール

インストール後
設定 --> サーバー設定 --> 全般設定  から Splunkサーバー名 と デフォルトのホスト名 を変更して再起動しておく
image.png

3 ライセンスサーバー設定

ライセンスサーバーの設定からライセンスを選択
image.png
ライセンスの追加
image.png
ライセンスファイル(XXX.license)を選択し、インストール
image.png
いますぐ再起動 --> OK
image.png
再起動後、ライセンスグループがEnterpriseに設定されていることを確認
image.png

その他6台のサーバーにログインし、設定-->ライセンス-->スレーブに変更
image.png
マスターの関連付けの変更で、別のSplunkインスタンスを、マスターライセンスサーバーとして指定
URIにはライセンスサーバーのDNSもしくはIPを指定し、ポートは8089 で保存
image.png
今すぐ再起動 --> OK
image.png
再起動後、ライセンスページから、ライセンスマスターと紐付けられていることを確認
image.png
これを6台全部繰り返す・・・・CLIの方が楽かも・・・

4 Cluster Master設定

クラスタマスター(CM)にログインし、設定 --> インデクサークラスタリング -->インデクサー・クラスタリングを有効にする
image.png
マスターノードを選択
image.png
任意のセキュリティキー と クラスターラベルを設定し、マスターノードを有効にする -->再起動
※後ほど使う
image.png
再度ログインするとこんな感じ
image.png
エラーメッセージが出ている
まだクラスタが構成されていないので、当然。無視。
image.png

5 IndexerをクラスターのSearch Peerにする

IDX1 ~ 3 にログインし以下を実行
設定 --> インデクサークラスタリング --> インデクサー・クラスタリングを有効にする --> ピアノード -->次へ
image.png
ピアノード設定 --> ピアノードを有効にする --> 再起動
- マスターURIにクラスターマスター(cm)のホスト名、もしくはIPにポート:8089を指定
- ピア複製用ポート 8080
- セキュリティキー "クラスターマスターの設定#4で設定したもの"
image.png
これを IDXサーバー3台で繰り返す
途中エラーになっても、クラスタマスターから認識していれば問題なし
image.png
image.png
クラスタが複数台登録され、データが同期されるとエラーは消える
image.png
image.png

6 SearchHead と IndexCluster の紐付け

SH1 ~ SH2 にログインし以下を実行
設定 --> インデクサークラスタリング --> インデクサー・クラスタリングを有効にする --> サーチヘッドノード -->次へ
image.png
サーチヘッドノード設定 --> サーチヘッドノードを有効にする --> 再起動
- マスターURIにクラスターマスター(cm)のホスト名、もしくはIPにポート:8089を指定
- セキュリティキー "クラスターマスターの設定#4で設定したもの"
image.png
再起動後確認
image.png

7 SearchHead から IndexCluseter のデータを検索できるか確認

サーチヘッド(sh1)から自分を含むindexerのデータが検索できればOK

index="_internal" | dedup host | table host

image.png

8 DMC(Distributed Management Console)の設定

DMCを設定すると1台のSplunkサーバーからSplunk環境全体(クラスタ&非クラスタ)を把握できるので便利
CMにログインし、設定 --> モニターコンソール
image.png
タブの設定 --> 通常セットアップ
image.png
Mode --> 分散 --> 続行
image.png
下部にリモート・インスタンスが追加される
image.png
クラスタマスター自身(CM)に問題が検出されている。
image.png
CMのサーバーロールから不必要なものを外す
アクション --> 編集 --> サーバー・ロールの編集
image.png
image.png
保存
image.png
こんな感じ
image.png

次にサーチヘッドも管理対象に追加してみる
設定 --> 分散サーチ --> サーチピア --> 新しいサーチピア
image.png
sh1 と sh2について上記設定を行うと以下
image.png
再度モニターコンソールに設定からアクセス
モニターコンソールのタブの設定 --> 通常セットアップ
ちゃんとリモートにサーチヘッドが追加されてる
image.png
モニターコンソールのタブの概要
構成の概要とリソース使用状況などが確認できる
image.png
トポロジー をクリックするとサーチヘッドとインデクサーのひも付きなどを確認可能
image.png

まとめ

最低限の設定はGUIのみでもやれることがわかりました。
ただ、その他の現実的に必要な設定、例えばサーチヘッドのログをインデクサーに転送する、などはGUIのみでは難しそうです。
今後もGUIは強化されていくと思いますので、期待しましょう。

参考
https://docs.splunk.com/Documentation/Splunk/7.3.1/Indexer/Clusterdeploymentoverview
https://qiita.com/kikeyama/items/f9900059c5a00c22feda

3
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?