Splunk バージョン 6 リリースに伴うバージョン 4 サポート終了と

by user

on 28 марта 2017

Category: Documents

>> Downloads: 18

131

views

Report

Comments

Description

Download Splunk バージョン 6 リリースに伴うバージョン 4 サポート終了と

Transcript

Splunk バージョン 6 リリースに伴うバージョン 4 サポート終了と

Splunk バージョン 6 リリースに伴うバージョン 4
サポート終了とアップグレードの考え方
2013/10/18
© 2013 Macnica Networks Corporation. All rights reserved.
1
目次
1.
EOS について .................................................................................................................................................3
1.1
サポート終了時期 .......................................................................................................................................3
1.2
対応について...............................................................................................................................................3
2.
EOS の延長条件 .............................................................................................................................................3
3.
マイグレーションプランの考え方 .................................................................................................................4
3.1
マイグレーションプラン参考情報 ..............................................................................................................4
3.1.1
現在の利用バージョンによってマイグレーションフローが異なる ...................................................4
3.1.2
マイグレーション後の動作確認事項 ..................................................................................................4
3.1.3
UnixOS におけるファイルディスクリプタの推奨値変更 .................................................................9
3.2
マイグレーションすることによる影響の予測 .........................................................................................10
3.2.1
ロールバックという考え方がない ....................................................................................................10
3.2.2
アップグレード後に取り込んだデータは、古いバージョンの Splunk では読み込めない ............10
3.2.3
アップグレードの際にサービスの再起動が行われる .......................................................................10
3.2.4
アップグレードで上書きされる設定がある...................................................................................... 11
3.2.5
サポートが終了する OS やブラウザがある ...................................................................................... 11
3.2.6
廃止予定の機能 ................................................................................................................................. 11
3.2.7
ファイル＆ディレクトリ監視による取り込み対象の指定方法 ........................................................ 11
3.3
マイグレーション例 1 ..............................................................................................................................14
1)
4.2 より前のバージョンを利用している場合 ..................................................................................14
2)
4.2 以降を利用している場合............................................................................................................16
3.4
マイグレーション例 2 ..............................................................................................................................17
1)
停止順 ................................................................................................................................................17
2)
アップグレード方法 ..........................................................................................................................17
3)
起動順 ................................................................................................................................................17
3.5
切り戻し方法.............................................................................................................................................17
© 2013 Macnica Networks Corporation. All rights reserved.
2
1. EOS について
1.1 サポート終了時期
2013 年 10 月 31 日
上記日時以降は、ソフトウェアバージョン 4.x はサポート対象外となり、不具合修正、新機能追加の対
応が終了します。
1.2 対応について
Splunk 社のサポートポリシーにより、最新メジャーバージョンを含む 2 世代前までがサポート対象バ
ージョンとなります。
2013 年 10 月 1 日に、最新ソフトウェアバージョン 6.0 がリリースされたため、バージョン 5.x と
6.x がサポートバージョンとなります。バージョン 4.X をご利用のお客様は、バージョン 5.x 以降のソ
フトウェアへアップグレードをお願い致します。
2. EOS の延長条件
2013 年 10 月 31 日までに、バージョン 5.x 以降のソフトウェアへアップグレードすることが難しいお客様
に関しましては、最大で 6 か月間のサポート延長が可能です。
サポート延長する条件としまして、バージョン 5.x 以降のソフトウェアへアップグレードが可能な時期を
Splunk 社へ申請する必要があります。
サポート期間の延長をご希望される方は、以下の項目を全て埋めていただき、弊社までご連絡を頂けますよ
うお願い致します。
お客様名：
ご利用中のバージョン：
バージョン 5 以上へのアップグレード完了日目安：
サポート延長に関する連絡先：[email protected]
© 2013 Macnica Networks Corporation. All rights reserved.
3
3. マイグレーションプランの考え方
Splunk 5.0.5 へのマイグレーション(アップグレード)を前提とした、マイグレーションプランを立てる上で
参考となる情報をまとめています。これらの情報は、Splunk 社の公式情報(How to upgrade Splunk)から
抜粋した内容を日本語化し、弊社により考慮ポイントを加えたものです。
How to upgrade Splunk:
http://docs.splunk.com/Documentation/Splunk/5.0.5/installation/HowtoupgradeSplunk
※元の情報が予告なく変更となる場合がございますこと、予めご了承ください。
3.1 マイグレーションプラン参考情報
Splunk のバージョンを 5.0.5 へアップグレードする場合、アップグレード手順やスケジュール設定に
は以下の内容をご参考ください。
3.1.1 現在の利用バージョンによってマイグレーションフローが異なる
1) 4.2 より前のバージョンを利用している場合
一度 4.2 にアップグレードしてから 5.0.5 へアップグレードの必要がある。
2) 4.2 以降を利用している場合
直接 5.0.5 へアップグレードできる。
3.1.2
マイグレーション後の動作確認事項
【シングル構成、分散構成の場合】
① SplunkWeb へアクセスし、ログインページのバージョンが 5.0.5 として表示される
事を確認します。
© 2013 Macnica Networks Corporation. All rights reserved.
4
② ユーザー名、パスワードを入力し、SplunkWeb へログインが可能である事を確認し
ます。
以下のように、ログイン後に Splunk の操作が可能なページにアクセスできることを
ご確認ください。
③ サーチ App のサマリー画面へアクセスし、マイグレーション前に取り込んだデータ
（総件数、各ソース、ソースタイプ、ホスト毎の件数など）が正しく表示されている
事を確認します。
© 2013 Macnica Networks Corporation. All rights reserved.
5
④ サマリー画面から任意のデータにドリルダウン（任意のデータをクリック）し、エラ
ーが表示されることなくサーチできることを確認します。
© 2013 Macnica Networks Corporation. All rights reserved.
6
⑤ アップグレード後に取り込んだデータ（ソースタイプや時間範囲など）を指定してサ
ーチし、結果が正しく表示されることを確認します。
⑥ アップグレード前に作成された任意の App のビュー（ダッシュボード）の表示、ド
リルダウンが問題なく実行できることを確認します。
© 2013 Macnica Networks Corporation. All rights reserved.
7
© 2013 Macnica Networks Corporation. All rights reserved.
8
【分散構成の場合】
① サーチヘッドの SplunkWeb へログインし、各サーチピアのデータが検索できること
を確認します。
② ライセンスマスターの SplunkWeb へログインし、管理＞ライセンスから、全スレー
ブ、プーリングが正しく表示されている事を確認します。
3.1.3
UnixOS におけるファイルディスクリプタの推奨値変更
10240 程度にすることを推奨しております。
© 2013 Macnica Networks Corporation. All rights reserved.
9
3.2 マイグレーションすることによる影響の予測
3.2.1 ロールバックという考え方がない
Splunk はアップグレード後に旧バージョンへロールバックする方法がありません。旧バージョン
での利用を再開する場合、旧バージョンを再インストールした上で、バックアップした設定とデ
ータ領域で上書きします。切り戻し手順については「3.5 切り戻し方法」をご参照ください。
3.2.2 アップグレード後に取り込んだデータは、古いバージョンの Splunk では読み込めない
アップグレード後に取り込んだデータは、古いバージョンの Splunk では読み込めません。
「3.5 切り戻し方法」に従って切り戻す際、Splunk 5.0.5 でデータ領域をバックアップしていて
も、旧バージョンに上書きした 5.0.5 で取り込んだデータは旧バージョンでは検索できません。
3.2.3 アップグレードの際にサービスの再起動が行われる
アップグレードする際、Splunk サービス一時的に停止する必要があります。Splunk サービスを
起動したままアップグレードを実行した場合、自動的に再起動されます。
この、一時的な停止状態によって以下のような影響が考えられます。
ファイル＆ディレクトリ監視以外の方法でデータを取り込む場合には、サービスが停止して
いる期間のデータは取り込むことが出来ない。
ファイル&ディレクトリ監視以外の方法でデータを取り込んでいる場合、一時的にデータを
テキスト出力しておくなど、停止期間のデータを保持する方法をご検討ください。
サービスが停止している期間のスケジュール検索やアラートは実行されない。
スケジュールサーチによってサマリーインデックスを定期的に作成している場合には、
backfill という方法によって、後から生成することが可能です。
以下に具体的な手順を実施します。
(1) サービス停止によって取り込めなかったデータが、完全に取り込まれている事を確認しま
す。（対象期間のデータをサーチし、結果が表示されることで確認します。）
(2) サマリーデータの重複を防止するため、delete コマンド(※) という検索コマンドを使用
して、サマリーインデックスに対して、サマリーデータ追加が行われなかった期間の全デ
ータを検索対象外にします。
※ delete コマンドは、ロール「can_delete」が割り当てられたユーザのみ実行可能な検
索コマンドです。ロールの割り当ては、管理＞アクセス制御＞ユーザから、作業を実
施するユーザを選択し、「ロールに割り当て」項目の「利用できるロール」の一覧か
ら「can_delete」を選択する方法で追加する事が可能です。
(3) サービスが停止していた期間を指定し、backfill のためのコマンドを実行します。
コマンド実行例：
指定期間： 2013/10/10 12:00～13:00 UTC
スケジュールサーチ名： scheduled_searchA
実行ユーザ： admin
実行ユーザパスワード： changeme
・Linux OS の場合
© 2013 Macnica Networks Corporation. All rights reserved.
10
./splunk cmd python fill_summary_index.py -name "scheduled_searchA"
-et 1381406400 -lt 1381410000 -dedup true -auth admin:changeme
・Windows OS の場合
Splunk.exe cmd python fill_summary_index.py -name "scheduled_searchA"
-et 1381406400 -lt 1381410000 -dedup true -auth admin:changeme
※ 尚、上記の情報は、Splunk 社の公式情報(Use the backfill script to add other data or
fill summary index gaps)から抜粋した内容を日本語化し、弊社により考慮ポイント
を加えたものです。
Use the backfill script to add other data or fill summary index gaps：
http://docs.splunk.com/Documentation/Splunk/5.0.5/Knowledge/Managesum
maryindexgapsandoverlaps#Use_the_backfill_script_to_add_other_data_or_fill
_summary_index_gaps
3.2.4
アップグレードで上書きされる設定がある
Splunk はアップグレードに伴い、実行ファイルや設定ファイルを上書きします。上書きされる対
象は多岐にわたります。ただし、$SPLUNK_HOME/etc/system/local などの local フォルダ配
下は上書きされません。local フォルダ配下以外に配置されている設定ファイルを変更している場
合、アップグレード後に再度変更内容を追記するなどの対応が、必要になる場合があります。
3.2.5
サポートが終了する OS やブラウザがある
サポート対象の OS やブラウザを、以下のリンクからご確認ください。
http://docs.splunk.com/Documentation/Splunk/5.0.5/Installation/Systemrequirements
3.2.6
廃止予定の機能
以下の機能は今後廃止される予定ですが、5.0.5 では機能の削除は行われておりません。ただし、
今後のバージョンでは削除される可能性があることにご留意ください。
ファイル改ざん検知機能 (FSChange)
取り込みデータ改ざん検知機能 (データサイニング)
CHECK_FOR_HEADER (props.conf で指定可能な Attribute)
主だった廃止予定機能は上記の通りですが、全てではありません。その他の廃止予定機能につい
てご確認されたい場合は、以下のリンクをご参照ください。
http://docs.splunk.com/Documentation/Splunk/5.0.5/ReleaseNotes/Deprecatedfeatures
3.2.7
ファイル＆ディレクトリ監視による取り込み対象の指定方法
ファイルやディレクトリを指定することによりデータを取り込む設定を行っている場合、フィル
タ設定（ホワイトリストやブラックリストなど）を行うことができます。このフィルタ設定に、
不適切な正規表現が記載されている場合、そのデータ入力の設定は無視するよう、仕様が変更と
なりました。
© 2013 Macnica Networks Corporation. All rights reserved.
11
つまり、不適切な正規表現を含む、データ入力設定(ファイル＆ディレクトリ監視)の場合、その
設定で監視対象としているファイルのデータは取り込まれなくなります。
ホワイトリストやブラックリストの正規表現が適切かどうかは以下の手順で確認できます。
【確認方法】
① SplunkWeb にログインし、管理画面から「データ入力」をクリックします。
② 「ファイル＆ディレクトリ」をクリックしてデータ入力（ファイル）画面を開きます。
③ データへのフルパスをクリックして設定画面を開きます。
フルパスをクリック
© 2013 Macnica Networks Corporation. All rights reserved.
12
④ 画面を下にスクロールし詳細オプションのホワイトリスト、ブラックリストの正規表現を確
認します。
⑤ 正規表現が不適切(正しく合致しない)である場合、修正します。
© 2013 Macnica Networks Corporation. All rights reserved.
13
3.3 マイグレーション例 1
1 台のサーバーで Splunk を構成している場合のマイグレーション例です。
1) 4.2 より前のバージョンを利用している場合
まずは以下の手順を参考に、4.2 へアップグレードします。4.2 へのアップグレードが完了した
後、
「2) 4.2 以降を利用している場合」を参考に 5.0.5 へのアップグレードを実行します。
【Windows 環境の場合】
① 以下のコマンドを実行して、Splunk を停止します。
$SPLUNK_HOME\bin\splunk stop
② 設定とデータのバックアップを取得します。
1) 設定：$SPLUNK_HOME\etc 配下のすべてのディレクトリ及びファイル
2) 取り込んだデータ：$SPLUNK_HOME\var\lib\splunk 配下すべてのディレクトリ及び
ファイル
3) カスタム CA 証明書（デフォルト以外の CA 証明書を使用している場合）
※ 注意
Windows 版の場合、アップグレードによって$SPLUNK_HOME\etc\auth 配下のカス
タム CA 証明書が上書きされます。
カスタム CA 証明書を$SPLUNK_HOME\etc\auth 配下に配置している場合は、アップ
グレード前にバックアップを取得します。
③ スプランクのダウンロードページから 4.2.x のインストーラをダウンロードします。
最新版（6.0）
以前のバージョン
： http://www.splunk.com/download
： http://www.splunk.com/page/previous_releases
④ インストーラをダブルクリックし、画面の指示に従いアップグレードを実行します。
⑤ インストール完了後、デフォルトで Splunk が開始されます。
【Linux 環境の場合】
①
以下のコマンドを実行して、Splunk を停止します。
$SPLUNK_HOME/bin/splunk stop
②
設定とデータのバックアップを取得します。
1) 設定：$SPLUNK_HOME/etc 配下のすべてのディレクトリ及びファイル
2) 取り込んだデータ：$SPLUNK_HOME/var/lib/splunk 配下すべてのディレクトリ及び
ファイル
© 2013 Macnica Networks Corporation. All rights reserved.
14
③ Splunk4.2.x のインストーラを実行します。
最新版（6.0）
以前のバージョン
： http://www.splunk.com/download
： http://www.splunk.com/page/previous_releases
例１）.tar ファイルを使う場合は、tar ファイルを既存 splunk インスタンスの同じディレ
クトリ上で展開します。
例２）RPM のようなパッケージマネージャを使う場合は、以下のコマンドを実行してアッ
プグレードします。
rpm -U <パッケージ名.rpm>
例３）.dmg ファイル(on Mac OS X)を使う場合
ファイルをダブルクリックして、指示に従いインストールします。この時、必ず既
存の Splunk ディレクトリと同じディレクトリを指定してください。
④ 以下のコマンドを実行して Splunk を開始します。
$SPLUNK_HOME/bin/splunk start
⑤ 以下のメッセージが出力された場合は'y'を選択します。
Do you agree with this license?[y/n]
※
'n'を選択した場合、再度④の start コマンドを実行します。
⑥ 以下のメッセージが出力された場合は'y'を選択します。
-------------------------------------------------------------------------------Splunk has detected an older バージョン of Splunk installed on this machine. To
finish upgrading to the new バージョン, Splunk's installer will automatically
update and alter your current configuration files. Deprecated configuration
files will be renamed with a .deprecated extension.
You can choose to preview the changes that will be made to your configuration
files before proceeding with the migration and upgrade:
If you want to migrate and upgrade without previewing the changes that will be
made to your existing configuration files, choose 'y'.
If you want to see what changes will be made before you proceed with the
upgrade, choose 'n'.
Perform migration and upgrade without previewing configuration changes? [y/n]
※
※
※
※
'y'を選択した場合、変更された構成ファイルをプレビューせずにサービスを開始しま
す。
'n'を選択した場合、アップグレード前に変更された構成ファイルをプレビューします。
'n'を選択した場合は再度手順①の start コマンドを実行します。
）
補足
④,⑤,⑥の手順を一度に行う場合は以下のようにコマンドを実行します。
© 2013 Macnica Networks Corporation. All rights reserved.
15
例１）ライセンスに同意し、アップグレード前に構成の変更をプレビューする場合
$SPLUNK_HOME/bin/splunk start --accept-license --answer-no
例２）ライセンスに同意し、アップグレード前に構成の変更をプレビューしない場合
$SPLUNK_HOME/bin/splunk start --accept-license --answer-yes
2) 4.2 以降を利用している場合
【Windows 環境の場合】
「1) 4.2 より前のバージョンを利用している場合」と同様です。5.0.5 のインストーラをご用
意ください。
【Linux 環境の場合】
「1) 4.2 より前のバージョンを利用している場合」と同様です。5.0.5 のインストーラをご用
意ください。
© 2013 Macnica Networks Corporation. All rights reserved.
16
3.4 マイグレーション例 2
Universal Forwarder, indexer, Search Head の 3 つに分散して Splunk を構成している場合のマイ
グレーション例です。
1) 停止順
Universal Forwarder、Search Head、Indexer の順番で、Splunk サービスを停止します。各サ
ーバーのサービス停止方法については、
「3.3 マイグレーション例 1」をご参照ください。
2) アップグレード方法
各サーバーのアップグレードについては「3.3 マイグレーション例 1」をご参照ください。
Windows OS の場合はアップグレード直後にサービスが自動で起動するため、Indexer、Search
Head、Universal Forwarder の順で実施してください。LinuxOS の場合には、各サーバー上の
Splunk サービスが停止した状態での作業となるため、順不同でアップグレードいただけます。
3) 起動順
Linux OS の場合には、自動でサービスが起動されないため、手動にて Indexer、Search Head、
Universal Forwarder の順番で、Splunk サービスを起動します。各サーバーのサービス起動方法
については、
「3.3 マイグレーション例１」をご参照ください。
3.5 切り戻し方法
切り戻しの流れは以下の通りとなります。
① 利用中の Splunk(旧バージョン)から設定ファイル及びデータ領域をバックアップ
② Splunk を 5.0.5 へアップグレード
<問題発生等により旧バージョンでの利用を決定>
③ Splunk 5.0.5 をアンインストール
④ Splunk 旧バージョンをインストール
⑤ ⑤の環境に①で取得したバックアップで上書き
⑥ プロセスの起動
なお、Splunk の過去バージョンは以下のリンクよりダウンロード可能です。
http://www.splunk.com/page/previous_releases
以上
© 2013 Macnica Networks Corporation. All rights reserved.
17