Splunkバージョンアップ手順① (Splunk本体のバージョンアップ)

以前Splunk及びSplunk Universal Forwarderのインストール手順を以下に記載した。

• Splunk 8.0.5をCentOS 7にインストールしてみた① (Splunk本体のインストール)
• Splunk 8.0.5をCentOS 7にインストールしてみた② (Universal Forwarderのインストール)

上記記事の中で、Splunkはtgz形式のインストーラの中に必要なモジュールや実行ファイルがすべて含まれており、tgzファイルを所定のディレクトリに解凍するだけでインストールがすぐに完了することを述べた。

さて、Splunkの各バージョンは、リリース後24か月でサポート終了となるライフサイクルポリシーとなっている。

• Splunk Software Support Policy | Splunk

2021年3月現在、サポート中のバージョンは7.2以降となっており、2021年内に7.2、7.3、8.0がサポート終了となるため、該当バージョンを使っている場合はバージョンアップが必要となる。

バージョン	サポート期限
7.2	2021/4/30
7.3	2021/6/4
8.0	2021/10/22
8.1	2022/10/19

前回導入したバージョンは8.0.5であり、2021年内にサポート期限を迎えることから、最新の8.1.2にバージョンアップをすることにした。

本記事では2回に分けて①Splunkのバージョンアップ手順と②Universal Forwarderのバージョンアップ手順を記載する。なお、バージョンアップはインストール手順とほぼ同様であり、新しいバージョンのtgzファイルをSplunkのインストールディレクトリに展開するだけですぐに完了することを確認した。

★Splunk Universal Forwarderのバージョンアップ手順はこちら↓

• Splunkバージョンアップ手順② (Universal Forwarderのバージョンアップ)

環境

• OS : CentOS 7
• Splunk : 8.0.5から8.1.2へのバージョンアップ
• Splunk Universal Forwarder : 8.0.5　※本体バージョンアップ後にバージョンアップ実施
• Splunkインストール方法 : tgzファイルを/optに展開

Splunkバージョンアップ手順

Splunk本体とUniversal Forwarderが存在する場合は、まずSplunk本体 (Indexer) をバージョンアップする。Splunk本体がバージョンアップしたとしても、よほどバージョンが離れていなければ、Universal Forwarderとの互換性が保たれている。互換性の詳細は以下URLにて記載されているが、たとえば本体 (Indexer) が8.xのバージョンであれば、7.x以降のUniversal Forwarderであれば問題なく受信が可能となっている。

• Compatibility between forwarders and Splunk Enterprise indexers - Splunk Documentation

1. Splunkのインストールファイルをダウンロード

インストーラは以下URLからダウンロードできる。無料トライアル版もFree版も同じものがダウンロードできる。ダウンロードするためにはSplunkサイトのユーザ登録が必要となるので注意。

• Splunk Enterprise無料ダウンロード | Splunk

今回ダウンロードしたファイル名はsplunk-8.1.2-545206cc9f70-Linux-x86_64.tgzとなる。

2. サーバのバックアップを取得

万が一インストールに失敗した場合を想定して、サーバのバックアップを取得する。仮想マシンで構成されている場合は、仮想マシンのスナップショットを取得する。物理サーバの場合は、バックアップソフトなどを利用してバックアップをすること。

3. インストールファイルをサーバへアップロード

Tera Termなどのscp機能を使用して、Splunkのインストールファイルをアップロードする。

今回は/tmpにファイルを配置した。

# ls -l /tmp/splunk-8.1.2-545206cc9f70-Linux-x86_64.tgz
-rw-r--r--. 1 root root 511782642  3月  3 05:59 /tmp/splunk-8.1.2-545206cc9f70-Linux-x86_64.tgz

4. Splunkサービス停止

バージョンアップ時は各種ファイルが上書きされるため、Splunkサービスを停止させる。

# cd /opt/splunk/bin/
# ./splunk status
splunkd is running (PID: 1640).
splunk helpers are running (PIDs: 1642 1659 1795 1857).

# ./splunk stop
Stopping splunkd...
Shutting down.  Please wait, as this may take a few minutes.
..                                                         [  OK  ]
Stopping splunk helpers...
                                                           [  OK  ]
Done.
# ./splunk status
splunkd is not running.

5. ファイルを上書きしてインストール

以下コマンドにて、Splunkのインストールディレクトリに対して、最新のSplunkファイルを解凍して上書きインストールを行う。

# tar xvzf /tmp/splunk-8.1.2-545206cc9f70-Linux-x86_64.tgz -C /opt

6. Splunkを起動

初回起動時はライセンス同意とバージョンアップ前の変更内容確認が求められる。どちらも「y」を入力することでバージョンアップが実行される。

# ./splunk start

SPLUNK GENERAL TERMS

Last updated: February 13, 2020

These Splunk General Terms ("General Terms") between
Splunk Inc., a Delaware corporation, with its principal place
of business at 270 Brannan Street, San Francisco,
California 94107, U.S.A ("Splunk" or "we" or "us" or "our")
and you ("Customer" or "you" or "your") apply to the
purchase of licenses and subscriptions for Splunk's
Offerings. By clicking on the appropriate button, or by
downloading, installing, accessing or using the Offerings,
you agree to these General Terms. If you are entering into
these General Terms on behalf of Customer, you represent
that you have the authority to bind Customer. If you do not
agree to these General Terms, or if you are not authorized
to accept the General Terms on behalf of the Customer, do
not download, install, access, or use any of the Offerings.

See the General Terms Definitions Exhibit attached for
definitions of capitalized terms not defined herein.

1. License Rights

～(省略)～

Do you agree with this license? [y/n]: y　←★「y」を入力

This appears to be an upgrade of Splunk.
--------------------------------------------------------------------------------)

Splunk has detected an older version of Splunk installed on this machine. To
finish upgrading to the new version, Splunk's installer will automatically
update and alter your current configuration files. Deprecated configuration
files will be renamed with a .deprecated extension.

You can choose to preview the changes that will be made to your configuration
files before proceeding with the migration and upgrade:

If you want to migrate and upgrade without previewing the changes that will be
made to your existing configuration files, choose 'y'.
If you want to see what changes will be made before you proceed with the
upgrade, choose 'n'.


Perform migration and upgrade without previewing configuration changes? [y/n] y
　↑★「y」を入力

-- Migration information is being logged to '/opt/splunk/var/log/splunk/migration.log.2021-03-03.06-20-15' --

～(省略)～

Waiting for web server at http://127.0.0.1:8000 to be available.. Done


If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://t1071splk:8000

バージョンアップ後のバージョンを念のため確認しておく。

# ./splunk version
Splunk 8.1.2 (build 545206cc9f70)

なお、ライセンス同意やバージョンアップ確認の「y」を選択する作業が面倒な場合は、以下のようにオプションを付与することで、手順をスキップすることができる。

# #ライセンス同意、変更内容確認のみ
# ./splunk start --accept-license --answer-no

# #ライセンス同意、バージョンアップ実施
# ./splunk start --accept-license --answer-yes

7. 管理Web画面へのアクセスと動作確認

Splunkの管理Web画面 (http://<インストールしたホスト名 or IPアドレス>:8000) にアクセスしログインを行う。管理Web画面からもSplunkのバージョン確認をしたところ問題なく8.1.2になっていることを確認できた。

また、ログのサーチもバージョンアップ以降も問題なく実施できることが確認できた。

以上でSplunkのバージョンアップ作業はあっさりと完了となる。バージョンアップ完了後は、事前に取得したスナップショットやバックアップを削除しておこう。