Splunkバージョンアップ手順② (Universal Forwarderのバージョンアップ)

前回、Splunkの本体のバージョンアップ手順を記載した。

★前回の記事はこちら↓

• Splunkバージョンアップ手順① (Splunk本体のバージョンアップ)

Splunk本体のバージョンアップが問題なくできたので、今回はUniversal Forwarderのバージョンアップする手順を記載する。

環境

• OS : CentOS 7
• Splunk : 8.1.2　※バージョンアップ済み
• Splunk Universal Forwarder : 8.0.5から8.1.2へのバージョンアップ
• Universal Forwarderインストール方法 : tgzファイルを/optに展開

Universal Forwarderバージョンアップ手順

1. Splunkのインストールファイルをダウンロード

インストーラは以下URLからダウンロードできる。ダウンロードするためにはSplunkサイトのユーザ登録が必要となるので注意。

• Splunk Universal Forwarder （ユニバーサル フォワーダー） | Splunk)

ダウンロードしたファイル名はsplunkforwarder-8.1.2-545206cc9f70-Linux-x86_64.tgzとなる。

2. インストールファイルをサーバへアップロード

Tera Termなどのscp機能を使用して、Universal Forwarderのインストールファイルをアップロードする。

今回は/tmpにファイルを配置した。

# ls -l /tmp/splunkforwarder-8.1.2-545206cc9f70-Linux-x86_64.tgz
-rw-r--r--. 1 root root 43433924  3月  3 05:59 /tmp/splunkforwarder-8.1.2-545206cc9f70-Linux-x86_64.tgz

3. Splunkサービス停止

バージョンアップ時は各種ファイルが上書きされるため、Universal Forwarderサービスを停止させる。

# cd /opt/splunkforwarder/bin/
# ./splunk status
splunkd is running (PID: 6480).
splunk helpers are running (PIDs: 6489).

# ./splunk stop
Stopping splunkd...
Shutting down.  Please wait, as this may take a few minutes.
                                                           [  OK  ]
Stopping splunk helpers...
                                                           [  OK  ]
Done.
# ./splunk status
splunkd is not running.

4. ファイルを上書きしてインストール

以下コマンドにて、Universal Forwarderのインストールディレクトリに対して、最新のUniversal Forwarderのファイルを解凍して上書きインストールを行う。

# tar xvzf /tmp/splunkforwarder-8.1.2-545206cc9f70-Linux-x86_64.tgz -C /opt

5. Universal Forwarderを起動

初回起動時はライセンス同意とバージョンアップ前の変更内容確認が求められる。どちらも「y」を入力することでバージョンアップが実行される。

# ./splunk start
～(省略)～

SPLUNK GENERAL TERMS (v1.2020)


Do you agree with this license? [y/n]: y　←★「y」を入力

This appears to be an upgrade of Splunk.
--------------------------------------------------------------------------------)

Splunk has detected an older version of Splunk installed on this machine. To
finish upgrading to the new version, Splunk's installer will automatically
update and alter your current configuration files. Deprecated configuration
files will be renamed with a .deprecated extension.

You can choose to preview the changes that will be made to your configuration
files before proceeding with the migration and upgrade:

If you want to migrate and upgrade without previewing the changes that will be
made to your existing configuration files, choose 'y'.
If you want to see what changes will be made before you proceed with the
upgrade, choose 'n'.


Perform migration and upgrade without previewing configuration changes? [y/n] y
　↑★「y」を入力
-- Migration information is being logged to '/opt/splunkforwarder/var/log/splunk/migration.log.2021-03-03.07-16-52' --

～(省略)～

All preliminary checks passed.

Starting splunk server daemon (splunkd)...
Done
                                                           [  OK  ]

バージョンアップ後のバージョンを念のため確認しておく。

# ./splunk version
Splunk Universal Forwarder 8.1.2 (build 545206cc9f70)

なお、ライセンス同意やバージョンアップ確認の「y」を選択する作業が面倒な場合は、以下のようにオプションを付与することで、手順をスキップすることができる。

# #ライセンス同意、変更内容確認のみ
# ./splunk start --accept-license --answer-no

# #ライセンス同意、バージョンアップ実施
# ./splunk start --accept-license --answer-yes

6. Splunkにてログが受信できていることを確認

最後にバージョンアップ後にSplunk上でログが受信できていることを検索して確認する。以下の通り、バージョンアップ以降もログ受信ができていることを確認できた。

以上でSplunk本体と同様に、Universal Forwarderのバージョンアップ作業もあっさりと完了となる。

参考

• Splunk 8.0.5をCentOS 7にインストールしてみた① (Splunk本体のインストール)
• Splunk 8.0.5をCentOS 7にインストールしてみた② (Universal Forwarderのインストール)