クラスター環境でSplunkサービスを全停止全起動させる手順

公開日
2015-05-28
最終更新日
2018-06-07
バージョン
Splunk Enterprise 6.6.2
概要
クラスター環境でSplunkサービスを全停止/全起動させる順序と実行コマンド
参考情報
内容

クラスター環境でSplunkサービスを停止/起動させる順序

バージョンアップ等ではなく、定期停電やサーバーのメンテナンスを目的としてSplunkサーバーを停止/起動させる場合には、以下の順序にてSplunkサービスを停止/起動させてください。

[停止]
①フォワーダー停止
②サーチヘッド停止
③デプロイメントサーバー停止
④デプロイヤー停止
⑤インデクサー停止
⑥クラスターマスター停止
⑦ライセンスマスター停止

[起動]
①ライセンスマスター起動
②クラスターマスター起動
③インデクサー起動
④サーチヘッド起動
⑤フォワーダー起動
⑥デプロイメントサーバー起動
⑦デプロイヤー起動

具体的に、Splunkサービスの全停止と全起動をさせる場合には、以下の手順を実行ください。尚、以下手順の$SPLUNK_HOMEはSplunkのインストールディレクトリに読み替えて実行ください。

※デフォルトインストールの場合

<Linux>

$SPLUNK_HOME : /opt/splunk

<Windows>

$SPLUNK_HOME : C:\Program Files\splunk

▼全停止

  • フォワーダーのSplunkサービス停止
$SPLUNK_HOME/bin/splunk stop
  • サーチヘッドのSplunkサービス停止
$SPLUNK_HOME/bin/splunk stop
  • デプロイメントサーバーのSplunkサービス停止
$SPLUNK_HOME/bin/splunk stop
  • デプロイヤーのSplunkサービス停止
$SPLUNK_HOME/bin/splunk stop
  • メンテナンスモードへの切り替え(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk enable maintenance-mode --answer-yes -auth admin:<password>

メンテナンスモードに切り替えることで、インデクサーを停止させた際にダウンと判断させず不要なレプリケーション処理を防ぐことができます。メンテナンスモードの詳細につきましては、下記のドキュメントをご参照ください。

http://docs.splunk.com/Documentation/Splunk/6.6.2/Indexer/Usemaintenancemode

  • メンテナンスモードに切り替わっていることを確認(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk show maintenance-mode -auth admin:<password>

※メンテナンスモードに切り替わっている場合、以下のように出力されます。

Maintenance mode is : 1
  • タイムアウト値の調整(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk edit cluster-config
-restart_timeout <秒数> -auth admin:<password>

※インデクサー全台のSplunkサービス停止にかかる時間を指定してください。

※短くなければ、大よその時間で問題ありません。

※短く設定した場合、不要なバケツのコピーが発生する可能性や、起動時に時間を要する可能性があります。

※このタイムアウト値は offlineコマンドで停止させる際にのみ有効になるため、元に戻す必要は特にありません。

  • インデクサーのSplunkサービス停止
$SPLUNK_HOME/bin/splunk offline
  • クラスターマスターのSplunkサービス停止
$SPLUNK_HOME/bin/splunk stop
  • ライセンスマスターのSplunkサービス停止
$SPLUNK_HOME/bin/splunk stop

▼全起動

  • ライセンスマスターのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start
  • クラスターマスターのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start
  • メンテナンスモードへの切り替え(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk enable maintenance-mode --answer-yes -auth admin:<password>

※Splunk6.5.x以前のバージョンでは、再起動後にメンテナンスモードが無効化されるため、再度メンテナンスモードに切り替える必要があります。

  • メンテナンスモードに切り替わっていることを確認(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk show maintenance-mode -auth admin:<password>

※メンテナンスモードに切り替わっている場合、以下のように出力されます。

Maintenance mode is : 1
  • インデクサーのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start
  • メンテナンスモードの無効化(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk disable maintenance-mode -auth admin:<password>
  • メンテナンスモードが無効化されていることを確認(クラスターマスターで実施)
$SPLUNK_HOME/bin/splunk show maintenance-mode -auth admin:<password>

※メンテナンスモードが無効化された場合、以下のように出力されます。

Maintenance mode is : 0
  • サーチヘッドのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start
  • フォワーダーのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start
  • デプロイメントサーバーのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start
  • デプロイヤーのSplunkサービス起動
$SPLUNK_HOME/bin/splunk start

以上