 |
| Iconshock - http://www.iconshock.com |
SplunkのIndexerで起動時に、以下のようなメッセージが表示されて・・・
Checking: /opt/splunk/etc/system/local/inputs.conf
Possible typo in stanza [splunktcp:9997] in /opt/splunk/etc/system/local/inputs.conf, line 5: compressed = true
なんだろう?で検索してみました!
でも、解決策分からず・・・
対策
結局、本家のドキュメントサイトにヒントが書かれていました!
inputs.conf - doc.splunk.com
によると、
- SSL通信の場合、「compressed」いらないよ!ってw
* Applies to non-SSL receiving only. There is no compression setting required for SSL.
ちなみに
- SSL通信の場合、デフォルトで「compressed」されるそう
* Compression for SSL is enabled by default.
なーんだ!
と、言うことで、該当箇所はコメントアウトしました!
【追記】※注意
※注意
SSL通信じゃない場合も、このメッセージが表示されることがわかりました。(Splunk 5.0.4で確認)
その状態で、コメントアウトしちゃうと・・・
ERROR S2S - Mismatch in configuration between forwarder and indexer. Expecting uncompressed data, but forwarder configured to send compressed dataな、メッセージが出てIndexerでデータが取れなくなるので、気をつけてください!
って、私がハマりました・・・w
まとめ
- 原因はおそらくSSL通信じゃないIndexerのconfからコピーしてきたんでしょう・・・(´・ω・`)
この記事が何かのお役にたてば幸いです!
