2013年8月12日月曜日

Splunkで「Possible typo in stanza」を解決してみた!

Iconshock - http://www.iconshock.com


SplunkのIndexerで起動時に、以下のようなメッセージが表示されて・・・

Checking: /opt/splunk/etc/system/local/inputs.conf
Possible typo in stanza [splunktcp:9997] in /opt/splunk/etc/system/local/inputs.conf, line 5: compressed = true

なんだろう?で検索してみました!

でも、解決策分からず・・・

対策




結局、本家のドキュメントサイトにヒントが書かれていました!

inputs.conf - doc.splunk.com

によると、

  • SSL通信の場合、「compressed」いらないよ!ってw

* Applies to non-SSL receiving only. There is no compression setting required for SSL.


ちなみに

  • SSL通信の場合、デフォルトで「compressed」されるそう

* Compression for SSL is enabled by default.


なーんだ!

と、言うことで、該当箇所はコメントアウトしました!

【追記】※注意


※注意
SSL通信じゃない場合も、このメッセージが表示されることがわかりました。(Splunk 5.0.4で確認)

その状態で、コメントアウトしちゃうと・・・
ERROR S2S - Mismatch in configuration between forwarder and indexer. Expecting uncompressed data, but forwarder configured to send compressed data
な、メッセージが出てIndexerでデータが取れなくなるので、気をつけてください!

って、私がハマりました・・・w

まとめ


  • 原因はおそらくSSL通信じゃないIndexerのconfからコピーしてきたんでしょう・・・(´・ω・`)

この記事が何かのお役にたてば幸いです!

Zenback