我正试图将Splunk从7.2.5升级到8.0.3。 Splunk运行在RHEL7虚拟机上,在Splunk的一个docker容器中(我们实际上并没有升级Splunk,我们只是在新的虚拟机上移动到一个新的容器)。 通过自动化,我们已经根据Splunk文档修改了容器的etsystemlocalinputs.conf,使之与SSL一起运行,在7.2.5中,这就可以了。
在8.0.3中,我们发现每当我们重启docker时,input.conf中的配置项就会被删除。 (optsplunk是一个安装在容器中的文件夹,所以它是持久的。)Splunk并没有 "恢复 "这个文件(例如,从.defaults文件夹中恢复)--通过测试,我们发现一些注释确实存活了下来,但是SSL的配置项被删除了,Splunk 8并没有使用SSL运行。
server.conf也被删除了。
有其他人注意到这种行为吗?
在重启之前。
[default]
host = edb999320984
# BEGIN ANSIBLE MANAGED BLOCK
[splunktcp-ssl:9997]
disabled = 0
[SSL]
serverCert = /opt/splunk/etc/...
requireClientCert=false
# END ANSIBLE MANAGED BLOCK
重启后,剩下的就是..:
[splunktcp://9997]
disabled = 0
# BEGIN ANSIBLE MANAGED BLOCK
还有一件事我们注意到了,在Splunk 7中,文件是由999:999拥有的。 在Splunk 8中,ownergroup是41812:41812。 然而,调整后,我们的配置更改还是被打乱了。
我已经确认新的Splunk 8 docker容器实际上正在生成inputs.conf。 实现方式在7和8之间显然发生了一些变化,新版本中的S2S(Splunk-To-Splunk?)设置触发了重写(尽管旧版本中的类似设置并没有这样做。)我的团队能够遵循这里给出的自定义defaults.yml的说明。https:/splunk.github.iodocker-splunkADVANCED.html#using-defaultyml。 来关闭S2S改写。