セキュリティ事業メニュー
セキュリティ事業
HOME
選ばれる
理由
サービス
取扱メーカー
事例・レポート・
ブログ・用語集
セミナー・
オンデマンド動画
TOP
製品・サービス
仕様・技術情報
ソリューション
ユーザー事例
サポート
セミナー・コンテンツ
評価機申込・FAQ
資料請求
お問い合わせ
イベント・セミナー
オンデマンド動画

Splunk技術ブログ 第2弾 ~テクニカルサポート事例 バージョンアップ編~

はじめに

こんにちは、マクニカSplunkサポート担当です。
Splunk テクニカルサポート事例第 2 弾では、トラブルシューティングからは少し離れ、Splunkのバージョンアップについて取り上げます。

Splunkは基本的にバージョンアップで脆弱性や既知のバグに対応します。また、End Of Serviceを迎えたバージョンは、メーカーサポートや弊社のサポートの対象外となります。そのため、安定的かつサポート対象のバージョンでSplunkをご利用いただくには、バージョンアップは避けては通れない道となります。本ブログでは実際のお問い合わせを通して、バージョンアップの手順や考慮するポイントをいくつかご紹介します。

お客様のご要望

  • Splunk Enterprise環境をバージョンアップしたい
  • バージョンアップが原因で業務に支障が発生することを防ぎたい

お問い合わせ事項

  • 質問①バージョンアップ手順は? 
  • 質問②バージョンアップにより、取り込み済のログが削除されないか?
  • 質問③業務で利用しているダッシュボード(App)に影響が出ないようにするために注意することはあるか?

解決までの流れ

質問①バージョンアップ手順は?

適切なバージョンアップの手順を決定するために、以下のポイントを確認します。

<ポイント①―1>

  • 構成
    1台構成か、クラスター構成かで手順が異なります。

<ポイント①―2>

  • アップグレードパス
    利用しているバージョンによっては、ターゲットバージョンにするために段階的にバージョンアップをする必要があります。
    例)v 8.0.x → v 8.2.x → v 9.1 等

<ポイント①―3>

  • フォワーダーとのバージョン互換性
    ォワーダーとインデクサー(今回の場合は単一のSplunk Enterprise)には、バージョン互換性があります。そのため、互換性がなくなってしまう場合はフォワーダーも合わせてバージョンを上げる必要があります。

サポート対応では、お客様のお問合せ内容から現在の環境について確認を行い、上記のポイントを踏まえながら手順を案内します。

・環境情報(一部抜粋)

  • SplunkをインストールしているOS:Linux version 3.10.0-1160.el7.x86_64
  • Splunkの構成:1台構成
  • Splunk Enterpriseの現バージョン/更新予定バージョン:7.3.x → 9.0.x
  • ユニバーサルフォワーダーのバージョン:7.3.x

回答①

<前提>

  • バージョンアップパスについて
    お客様の利用バージョンからv9.0には直接バージョンアップはできないため、一度v 8.1にバージョンアップをする必要があります。
  • フォワーダーのバージョンアップについて ご利用中のユニバーサルフォワーダーv7.3はインデクサーv9.0と互換性があります。ただしフルサポート期間が終了しているためバージョンアップをお勧めします。
    ※各製品のサポート期限は以下からご確認いただけます。
    https://www.splunk.com/en_us/legal/splunk-software-support-policy.html

なお、フォワーダーをv9.0にアップグレードする場合は、インデクサー同様、一度v 8.1にバージョンアップしたのち、 v 9.0にバージョンアップする必要があります。

<バージョンアップ手順>

  • バージョンアップの手順は以下の通りです。
  1. ユニバーサルフォワーダーを停止
  2. インデクサーを停止
  3. インデクサーのバージョンアップ
    1. Splunkの自動起動設定を有効にしている場合は無効化
    2. 設定とデータ領域のバックアップを取得
    3. ターゲットバージョンのインストーラーを実行
    4. インストールディレクトリにSplunk実行ユーザーのアクセス権を付与
    5. 必要に応じてSplunkの自動起動設定を有効化
  4. ユニバーサルフォワーダーのバージョンアップ
    1. Splunkの自動起動設定を有効にしている場合は無効化
    2. 設定のバックアップを取得
    3. ターゲットバージョンのインストーラーを実行
    4. インストールディレクトリにSplunk実行ユーザーのアクセス権を付与
    5. 必要に応じてSplunkの自動起動設定を有効化
  5. インデクサーを起動
  6. フォワーダーを起動
    ※サポート対応の中ではより詳細な手順をご案内しています。

質問②バージョンアップにより、取り込み済のログが削除されないか?

回答②

Splunkは設定ファイルとデータ領域を分けて保存しており、バージョンアップは設定ファイルに対してのみ実行されます。そのため、バージョンアップしても取得済のログは削除されません。ただし、万が一に備えて設定ファイル、データ領域のバックアップを取得してください。

質問③業務で利用しているダッシュボード(App)に影響が出ないようにするために注意することはあるか?

<ポイント③-1>

  • Splunkが対応するPythonのバージョン
    Splunk Enterprise 8.0以降、対応するPythonのバージョンが2.7から3.7に変更されました。これにより、ご利用中のApp/Add-onによってはPython3.7との互換性がなく、Splunk Enterprise 8.0以降にバージョンアップした際に正しく動作しない可能性があります。そこで、事前に互換性をチェックして対処しておく必要があります。

回答③

インストール済のApp/Add-onと、アップグレード後のSplunk Enterpriseで、バージョン互換性が取れなくなる可能性があります。そのため、事前に互換性を確認し、必要に応じてSplunk Enterpriseをアップグレードする前に対象App/Add-onのアップグレードを実行してください。
App/Add-onSplunk Enterpriseの互換性は以下の方法で確認できます。

①Splunkbase(https://splunkbase.splunk.com/)での確認

対象のApp/Add-onのページに移動>[Compatibility]から確認可能です。

②Splunk Platform Upgrade Readiness Appでの確認

Splunk Platform Upgrade Readiness Appとは?
Splunkにインストール済みのApp/Add-on に対し、Splunk Enterprise v 9.0系やPython 3.7との互換性の有無をチェックできるAppです。お客様自身で作成された、カスタムAppの確認も可能です。

※Splunk Enterprise バージョン8.2以降にはデフォルトでインストール済です。
バージョン8.2未満をご利用の場合はSplunkbaseからダウンロードください。

・About the Splunk Platform Upgrade Readiness App

https://docs.splunk.com/Documentation/UpgradeReadiness/latest/Use/About

【Upgrade Readiness App使用方法】

  1. Splunk Webにログイン>[Upgrade Readiness App]を選択
    2. >[Run New Scan]>スキャン対象を選択>[Scan]
  2. Splunk Platform Compatibility Scan Results から[Status]を確認
  3. 対応が必要なApp/Add-onに対しては、チェック完了後に具体的な対応内容が通知される。
  4. 通知内容に従いアップグレード、カスタムAppの場合はスクリプトの見直しを実施。

対応の結果

ご案内した内容をもとに作業を実施いただき、バージョンアップ後の動作にも問題が無い旨をご連絡いただき本件はクローズとなりました。 

おわりに

最後までお読みいただき、ありがとうございました。

いかがでしたでしょうか。当ブログがバージョンアップ時のご参考になれば幸いです。また、バージョンアップ手順や追加される機能、known issue等はメーカドキュメントに記載がありますので、バージョンアップの際には是非こちらをご確認ください。

マクニカ保守ユーザーの方は以下のFAQもご参照いただけます。

Splunkに関するFAQはこちら
マクニカのサポート力

お問い合わせ・資料請求

株式会社マクニカ  Splunk 担当

お問い合わせ 資料請求

月~金 8:45~17:30