なのまるです!
やんごとなき理由により、もともとUbuntuで動いていたSplunkをCentOSへ移行しました。
明らかにサポート対象ではないので、メモ程度で残しておきたいと思います!
もくじ
前提条件
- 対象はCentOS(移転先)とUbuntu(移転元)と前提にします!
しかし、一部手順を除いてどちらが移転元・先であっても問題ないと思いますw - Splunkがインストールしてある! (versionは6系)
流れ
- OSインストール(手順は割愛)
- Splunkインストール(手順は割愛)
- Splunk起動・停止
- CentOSに設定(SELinux,iptables)
- データ移行
- Splunk設定・起動
- (オプション)Repoの移行
作業
OSインストール(手順は割愛)
今回手順は割愛します!強いて残すなら
Diskのパフォーマンスの為に、LVMは使用していません!
Splunkインストール(手順は割愛)
以前書いた記事通り、yumでインストールできる状態にしてあるので、「yum install splunk」とかでインストールしてください!!元うなぎ屋: Splunkの更新を 自作リポジトリ(yum,apt) で楽する方法!
Splunk起動・停止
一度起動します。(ライセンス同意と、各種ファイル作成の為)/opt/splunk/bin/splunk start
自動起動設定
/opt/splunk/bin/splunk enable boot-start
停止
/opt/splunk/bin/splunk stop
CentOSに設定(SELinux,iptables)
今回調整時間が足りなかったので、SELinuxは無効にしちゃいました・・・iptablesはSplunkの使用ポートと、HTTP関連を通過させます。(ちょっと自信ない)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 9997 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
データ移行
移行元のSplunkを停止してsudo /opt/splunk/bin/splunk stop
データ移行
以下を固めて送るか、rsyncとかする
- /opt/splunk/etc
- /opt/splunk/var/lib/splunk
Splunk設定・起動
/opt/splunk/etc全部上書きすると、動かなくなる可能性もあるので必要そうなのを移動しました!
- /opt/splunk/etc/apps以下のAppたち
- /opt/splunk/etc/auth以下のファイル
- /opt/splunk/etc/certsにSSL関連のファイルを独自に置いていたので、ここも
/opt/splunk/var/lib/splunk
ここはマルッと上書きです!
(オプション)Repoの移行
/opt/splunk-repoに「yum,apt」のリポジトリがあるので、移行してApacheを設定Splunk Repo http-conf
#
# for Splunk Forwarder
# Original repository
#
Alias /splunk-repo /opt/splunk-repo
<Directory "/opt/splunk-repo">
Options Indexes
AllowOverride None
# for Under 2.2
# Order allow,deny
# Allow from all
# for Over 2.4
Require all granted
</Directory>
#<Location /splunk-repo>
# Order deny,allow
# Deny from all
# Allow from 127.0.0.1
# Allow from ::1
# # Allow from .example.com
#</Location>
まとめ
- 無保証ですが、大体想像通りの動きをしてくれたのでよかったです!
- 次以降、自分で作業するときに参考しします!
- Ubuntu使えるようになろーよ~ (´・ω・`)
