splunkを構築しよう(5)

こんにちは。アイシーティーリンクの鈴木です。

前回はsplunkの構成要素についての内容を書きました。このブログでは、業務で使用したsplunkの機能について毎回紹介していきます。今回は、Search headの拡張機能である、Search head cluster(SHC)の設定について紹介したいと思います。

SHCとは

水平方向のスケーリングが可能になり、Splunk 検索内の容量を増やすことができます。また、障害などでSearch headがダウンしても、残りのSearch headが機能することで、高可用性を実現できます。

SHCの構成要素

・Deployer
アプリやその他の設定ファイルをSHCメンバーに配布する管理サーバ。License masterやCluster masterとの併設も可能です。

・Search head
SHCには、少なくとも 3 台のSearch headが必要です。

設定手順

1.Deployerの設定
1-1. Deployerの Splunk Enterprise インスタンスを選択。

1-2.server.conf で shclustering のセキュリティキー(pass4symmkey*1)を作成。このセキュリティキーは、SHC メンバーにも使用される。
*1 pass4symmkeyの値はsplunk再起動後に暗号化される。

[shclustering]
pass4symmkey = test1234

1-3.Deployerの再起動。

systemctl restert Splunkd

2.SHCメンバーの初期化
2-1.すべてのSHCメンバーにて下記コマンドを実施。

sudo -u splunk /opt/splunk/bin/splunk init SHCluster-config -mgmt_uri https://searchhead1url:8089 -replication_port 34321 -replication_factor 2 -conf_deploy_fetch_url https://deployerurl:8089 -secret test1234

2-2.Search headの再起動。

systemctl restert Splunkd

3.Cluster-captainの選出
初期化されたSearch headのいずれかを選択して、下記コマンドを実行します。最初のCluster-captainを選出します。

 sudo -u splunk /opt/splunk/bin/splunk bootstrap SHCluster-captain -servers_list “https://searchhead1url:8089, https://searchhead2url:8089, https://searchhead3url:8089: -auth <admin>:<adminpassword>

以上でSCHの設定は完了です。

splunkの設定手順については、公式ドキュメントに記載がありますが、日本語の手順を紹介している記事が少なく、海外のサイトを参考にすることが多いと思います。少しでも日本語の資料を増やすべく、今後も業務で使った新しい機能を紹介していきます。

最後までお読みいただきありがとうございました。