Продолжение серии статей о том, как выполняется установка и настройка Splunk в отказоустойчивой конфигурации. В этой публикации я расскажу о том, как выполняется настройка кластера индексаторов Splunk, т.е. в этой статье мы будем говорить про вот эту часть:
Из общей схемы развертывания распределенной архитектуры.
Предварительно нужно выполнить подготовку серверов Linux.
Установка Splunk
Этот шаг включает в себя установки Splunk. Я буду использовать версию 8.0.10.
Необходимо установить Splunk на следующие сервера:
- spl_mgr01
- spl_idx01
- spl_idx02
Сервер spl_mgr01 будет выступать в качестве менеджера кластера, а сервера spl_idx01 и spl-idx02 будут являться узлами кластера.
В качестве опорного руководства по установке я использовал свою же статью. Только с поправкой на версию 8.0.10.
Настройка лицензии
На каждом из серверов нужно настроить адрес для получения лицензии от сервиса лицензирования.
Для этого выполним следующие шаги. Я покажу на примере сервера spl_mgr01:
1. Перейдем в соответствующий раздел настроек:
https://10.10.10.19/en-GB/manager/system/licensing
2. Нажмем на кнопку “Change to slave”.
3. Укажем адрес сервера лицензирования.
4. Перезапустим сервис Splunk.
5. Выполнить шаги из пунктов выше на серверах spl_idx01 и spl_idx02.
Настройка кластера индексаторов
Теперь перейдем непосредственно к настройке кластера.
Подготовка менеджера кластера
Сначала подготовим менеджер кластера на сервере spl_mgr01 (10.10.10.19):
1. Инициализируем мастер:
sudo /opt/splunk/bin/splunk edit cluster-config -mode master -replication_factor 1 -search_factor 1 -secret Qwerty123123 -cluster_label idxcluster2. Укажем логин и пароль:
3. Перезапустил сервис Splunk:
sudo systemctl restart SplunkdДобавление узлов в кластер
Теперь добавил узлы в кластер:
1. На серверах spl_idx01 и spl_idx02 выполнил команды по добавлению узлов в кластер:
/opt/splunk/bin/splunk edit cluster-config -mode slave -master_uri https://10.10.10.19:8089 -replication_port 9887 -secret Qwerty1232. Укажем логин и пароль:
3. Перезапустил сервис Splunk:
sudo systemctl restart SplunkdПроверка
Теперь проверим состояние кластера:
1. Перейдем в веб интерфейс менеджера кластера на соответствующую страницу настроек:
https://10.10.10.19/en-GB/manager/system/clustering2. Убедимся, что все компоненты кластера инициализированы успешно.
3. Можно проверить статус через консоль на менеджере кластера кластера:
sudo /opt/splunk/bin/splunk show cluster-status[root@spl-mgr01 roman]# /opt/splunk/bin/splunk show cluster-status
Replication factor met
Search factor met
All data is searchable
Indexing Ready YES
spl-idx01.itproblog.ru 3BC3E0F5-93AC-4E31-8A6A-A89BA0E45C13 default
Searchable YES
Status Up
Bucket Count=39
spl-idx02.itproblog.ru 5509BE92-D988-48DD-A4BE-2F9227CECB23 default
Searchable YES
Status Up
Bucket Count=39
Настройка кластера индексаторов завершена.
Настройка порта для получения данных
Чтобы индексатор мог получать данные необходимо настроить порт для приема данных. Для этого на каждом из серверов индексаторов выполним следующие действия:
1. Перейдем на страницу настроек конфигурации получения данных:
https://10.10.10.31/en-GB/manager/launcher/data/inputs/tcp/cooked2. Укажем порт для получения данных:
3. Я буду использовать стандартный порт 9997:
4. Пример моей конфигурации:
5. Выполнить аналогичный настройки на втором индексаторе – spl_idx02.
Настройка кластера индексаторов Splunk завершена.