LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 4

Splunk Advent Calendar 2025

@odorusatoshi

ES8.3を新規インストールする際にハマったポイント

Posted at

Splunk Enterprise Security 8.3 インストール時のトラブルシューティング

Splunk Enterprise Security(ES)8.3 を Search Head に導入する際、初期セットアップ途中(install_apps)ステージで突然タイムアウトしてインストールに失敗する問題に遭遇することがあります。

この記事では、実際の障害ログをもとに以下観点でまとめています
どんな時にこのエラーが発生するのか
原因はどこにあるのか
どの設定を変更すればインストールが成功するのか

この記事を読む前に

以下記事でES8.xのインストール方法が紹介されているので参照をおすすめ
https://qiita.com/torippy1024/items/79ec1be410815fbdab77

発生したエラー

ES Appをインストールした後の「Set up now」を実行途中に以下エラーメッセージが画面にて発生

Error in 'essinstall' command: (InstallException) "install_apps" stage failed - Splunkd daemon is not responding: ('Error connecting to /services/admin/localapps: The read operation timed out',)

essinstaller2.logのログをチェックしてみると、どこまで成功していて何でつまずいたか読み解けます

2025-12-03 01:49:45,841+0000 INFO pid=1605606 tid=MainThread file=essinstaller2.py:stage_install_apps:662 | stage="install_apps" app="Splunk_SA_CIM" filename="Splunk_SA_CIM-6.3.0-1488.tgz" upgrade="True" status="True" msg="installed"
2025-12-03 01:50:45,948+0000 ERROR pid=1605606 tid=MainThread file=essinstall.py:die:309 | (InstallException) "install_apps" stage failed - Splunkd daemon is not responding: ('Error connecting to /services/admin/localapps: The read operation timed out',)
2025-12-03 01:50:45,965+0000 ERROR pid=1605606 tid=MainThread file=essinstall.py:die:311 | Traceback (most recent call last):
  File "/opt/splunk/lib/python3.9/site-packages/splunk/rest/__init__.py", line 581, in simpleRequest
(中略)
install.app_install_utils.InstallException: "install_apps" stage failed - Splunkd daemon is not responding: ('Error connecting to /services/admin/localapps: The read operation timed out',)

"Splunk_SA_CIM"appをインストールするところまでは成功して、その後timeoutしてしまってコケている模様

原因はREST API のタイムアウトが短すぎる

ES 8.3 の依存アプリ(DA-ESS-* や SA-ThreatIntelligence)はサイズが大きく、
Search Head の CPU / I/O によっては 展開に 60 秒以上かかることがあります。

Splunk Web → splunkd の REST タイムアウトはデフォルトで 60 秒前後。

→ アプリ展開が終わらずレスポンスが返らない
→ essinstall がタイムアウトして落ちる
→ 何度やっても同じ場所で失敗する

という状態になっていた模様です。何度やりなおしても失敗したので。。

どの設定を変更すればインストールが成功するのか

Splunk Web → splunkd の REST タイムアウトを 300 秒に伸ばします。

vi /opt/splunk/etc/system/local/web.conf

[settings]
splunkdConnectionTimeout = 300

Splunkサービス再起動後改めて「Set up now」を進めるとエラー無く初期導入が完了しました!
スクリーンショット 2025-12-04 13.10.29.png

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?