[英]Splunk indexer running in docker container overwrites inputs.conf on docker restart
我正在嘗試將 Splunk 從 7.2.5“升級”到 8.0.3。 Splunk 在來自 Splunk 的 docker 容器中的 RHEL7 虛擬機上運行。 (我們實際上並沒有升級 Splunk,我們正在遷移到新 VM 上的新容器。)通過自動化,我們修改了容器的 etc/system/local/inputs.conf 以根據 Splunk 文檔和 7.2 .5 這行得通。
在 8.0.3 中,我們發現只要我們重新啟動 docker,就會刪除 inputs.conf 中的配置條目。 (/opt/splunk 是一個安裝在容器中的文件夾,因此它會持續存在。)Splunk 不會“恢復”文件(例如,從../defaults 文件夾中) - 從測試中,我們發現一些注釋確實幸存下來,但 SSL 的配置條目正在被刪除,Splunk 8 沒有使用 SSL 運行。
server.conf 也被破壞了。
其他人注意到這種行為嗎?
重啟前:
[default]
host = edb999320984
# BEGIN ANSIBLE MANAGED BLOCK
[splunktcp-ssl:9997]
disabled = 0
[SSL]
serverCert = /opt/splunk/etc/...
requireClientCert=false
# END ANSIBLE MANAGED BLOCK
重啟后,剩下的就是:
[splunktcp://9997]
disabled = 0
# BEGIN ANSIBLE MANAGED BLOCK
我們注意到的另一件事是,使用 Splunk 7,文件歸 999:999 所有。 在 Splunk 8 中,所有者/組是 41812:41812。 但是,為此進行調整,我們的配置更改仍然受到破壞。
我已經確認新的 Splunk 8 docker 容器實際上正在生成 inputs.conf。 實施在 7 和 8 之間明顯有所變化,新版本中的 S2S(Splunk-To-Splunk?)設置正在觸發重寫(即使舊版本中的類似設置沒有這樣做。)我的團隊能夠按照https://splunk.github.io/docker-splunk/ADVANCED.html#using-defaultyml此處給出的自定義 defaults.yml 的說明關閉 S2S 重寫。
通過廚師角色在應用程序級別對inputs.conf進行Splunk配置
[英]Splunk configuration of inputs.conf at application level via chef role
無法在 docker 容器中為 splunk 運行 localhost:8000
[英]Not able to run localhost:8000 for splunk in a docker container
有沒有辦法讓Docker Splunk驅動程序在AWS EC2容器服務(ECS)上運行時將EC2實例ID發送到Splunk?
[英]Is there a way to make the Docker Splunk Driver send the EC2 Instance Id to Splunk when it runs on the AWS EC2 Container Service (ECS)?
在docker容器中首次啟動splunk時是否可以跳過許可協議頁面?
[英]Is it possible to skip license agreement page when splunk starts on first time in docker container?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.