クラスター環境でSplunkサービスを停止/起動させる順序

バージョンアップ等ではなく、定期停電やサーバーのメンテナンスを目的としてSplunkサーバーを停止/起動させる場合には、以下の順序にてSplunkサービスを停止/起動させてください。

[停止]
①フォワーダー停止
②サーチヘッド停止
③デプロイメントサーバー停止
④デプロイヤー停止
⑤インデクサー停止
⑥クラスターマスター停止
⑦ライセンスマスター停止

[起動]
①ライセンスマスター起動
②クラスターマスター起動
③インデクサー起動
④サーチヘッド起動
⑤フォワーダー起動
⑥デプロイメントサーバー起動
⑦デプロイヤー起動

具体的に、Splunkサービスの全停止と全起動をさせる場合には、以下の手順を実行ください。尚、以下手順の$SPLUNK_HOMEはSplunkのインストールディレクトリに読み替えて実行ください。

※デフォルトインストールの場合

＜Linux＞

$SPLUNK_HOME : /opt/splunk

＜Windows＞

$SPLUNK_HOME : C:\Program Files\splunk

▼全停止

• フォワーダーのSplunkサービス停止

$SPLUNK_HOME/bin/splunk stop

• サーチヘッドのSplunkサービス停止

$SPLUNK_HOME/bin/splunk stop

• デプロイメントサーバーのSplunkサービス停止

$SPLUNK_HOME/bin/splunk stop

• デプロイヤーのSplunkサービス停止

$SPLUNK_HOME/bin/splunk stop

• メンテナンスモードへの切り替え(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk enable maintenance-mode --answer-yes -auth admin:<password>

メンテナンスモードに切り替えることで、インデクサーを停止させた際にダウンと判断させず不要なレプリケーション処理を防ぐことができます。メンテナンスモードの詳細につきましては、下記のドキュメントをご参照ください。

http://docs.splunk.com/Documentation/Splunk/6.6.2/Indexer/Usemaintenancemode

• メンテナンスモードに切り替えることで、インデクサーを停止させた際にダウンと判断させず不要なレプリケーション処理を防ぐことができます。メンテナンスモードの詳細につきましては、下記のドキュメントをご参照ください。

https://docs.splunk.com/Documentation/Splunk/9.1.2/Indexer/Usemaintenancemode

• メンテナンスモードに切り替わっていることを確認(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk show maintenance-mode -auth admin:<password>

※メンテナンスモードに切り替わっている場合、以下のように出力されます。

Maintenance mode is : 1

• タイムアウト値の調整(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk edit cluster-config
-restart_timeout <秒数> -auth admin:<password>

※インデクサー全台のSplunkサービス停止にかかる時間を指定してください。

※短くなければ、大よその時間で問題ありません。

※短く設定した場合、不要なバケツのコピーが発生する可能性や、起動時に時間を要する可能性があります。

※このタイムアウト値は offlineコマンドで停止させる際にのみ有効になるため、元に戻す必要は特にありません。

• インデクサーのSplunkサービス停止

$SPLUNK_HOME/bin/splunk offline

• クラスターマスターのSplunkサービス停止

$SPLUNK_HOME/bin/splunk stop

• ライセンスマスターのSplunkサービス停止

$SPLUNK_HOME/bin/splunk stop

▼全起動

• ライセンスマスターのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start

• クラスターマスターのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start

• メンテナンスモードへの切り替え(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk enable maintenance-mode --answer-yes -auth admin:<password>

※Splunk6.5.x以前のバージョンでは、再起動後にメンテナンスモードが無効化されるため、再度メンテナンスモードに切り替える必要があります。

• メンテナンスモードに切り替わっていることを確認(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk show maintenance-mode -auth admin:<password>

※メンテナンスモードに切り替わっている場合、以下のように出力されます。

Maintenance mode is : 1

• インデクサーのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start

• メンテナンスモードの無効化(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk disable maintenance-mode -auth admin:<password>

• メンテナンスモードが無効化されていることを確認(クラスターマスターで実施)

$SPLUNK_HOME/bin/splunk show maintenance-mode -auth admin:<password>

※メンテナンスモードが無効化された場合、以下のように出力されます。

Maintenance mode is : 0

• サーチヘッドのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start

• フォワーダーのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start

• デプロイメントサーバーのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start

• デプロイヤーのSplunkサービス起動

$SPLUNK_HOME/bin/splunk start