2022年10月27日 星期四

[研究]Splunk Enterprise 8.2.6搬移舊資料到另一台 Splunk Enterprise 9.0.1新機器

[研究]Splunk Enterprise 8.2.6搬移舊資料到 Splunk Enterprise 9.0.1新機器

2022-10-28
2022-11-19 更新

********************************************************************************

重點結論:(但仍建議先把整篇看完,可能要處理 ssh 問題)

新、舊機器上先停止 Splunk

/opt/splunk/bin/splunk  stop

把舊機器上所有 Splunk 資料夾拷貝到新機器 (不管授權檔案、Index Database、設定)

scp -r -v  root@10.3.99.32:/opt/splunk  /opt

/opt/splunk/bin/splunk  start

********************************************************************************

本篇測試直接把 Splunk Enterprise 8.2.6 (CentOS 6.10) 的資料搬移到另一台 Splunk Enterprise 9.0.1新機器 (Rocky Linux 9.0) 。

Move the index database - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/9.0.1/Indexer/Moveanindex

新機器先啟動一次 Splunk, /opt/splunk/var 目錄和其下子目錄才會產生,再停掉。

新、舊機器上先停止 Splunk

/opt/splunk/bin/splunk  stop

如果一邊是使用OpenSSL 3.x 的 CentOS 9,一邊是使用OpenSSL 1.x 的 CentOS 6,CentOS 9上請先執行

update-crypto-policies --set DEFAULT:SHA1

systemctl restart sshd

systemctl status sshd

把舊機器上授權和 Index DB 資料拷貝到目前電腦 (新機器)

scp -r -v  root@10.3.99.32:/opt/splunk/etc/licenses  /opt/splunk/etc

scp -r -v  root@10.3.99.32:/opt/splunk/var/lib/splunk  /opt/splunk/var/lib

注意,不是下面,否ˋ則會多一層目錄

scp -r -v  root@10.3.99.32:/opt/splunk/etc/licenses  /opt/splunk/etc/licenses

scp -r -v  root@10.3.99.32:/opt/splunk/var/lib/splunk  /opt/splunk/var/lib/splunk

檢查

ls   /opt/splunk/etc/licenses

********************************************************************************

實際測試 http://localhost:8000/zh-TW/  登入,點「搜尋」,點「資料摘要」,點「主機」,有列出舊資料的主機名稱列表。

但點選「搜尋」,點「報告」和「警示」,發現2者並沒有拷貝過來。本篇搬移的目前只有授權檔案 ( License ),和 索引資料庫 (Index Database)

先把設定檔案升級

[研究]Splunk Enterprise 8.2.6 升級安裝 9.0.1 (CentOS 6.10)
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-centos-610.html

新、舊機器上先停止 Splunk

/opt/splunk/bin/splunk  stop

設定檔案目錄拷貝過來

scp -r -v  root@10.3.99.32:/opt/splunk/etc  /opt/splunk

啟動

/opt/splunk/bin/splunk  start

新機器上,選「搜尋」,點「報告」和「警示」,出現了。

********************************************************************************

總結心得

1.先把舊機器Splunk Enterprise 8.2.6 升級安裝 9.0.1
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-centos-610.html

2.[研究]Splunk Server 9.0.1於 Rocky Linux 9.0 安裝
https://shaurong.blogspot.com/2022/10/splunk-server-901-rocky-linux-90.html

新機器要安裝,是怕除了/opt/splunk目錄,還有安裝檔案到其他目錄,或有安裝其他套件需求。

3.啟動新機器 Splunk,/opt/splunk/var 目錄和其下子目錄才會產生,再停掉。

/opt/splunk/bin/splunk  start

4.停止舊機器、新機器 Splunk

/opt/splunk/bin/splunk  stop

5.如果一邊是使用OpenSSL 3.x 的 CentOS 9,一邊是使用OpenSSL 1.x 的 CentOS 6,CentOS 9上請先執行 (注意下面 DEFAULT 和 SHA1 之間是冒號)

update-crypto-policies --set DEFAULT:SHA1

systemctl restart sshd

systemctl status sshd

若沒有 update-crypto-policies 可用,可執行下面指令安裝

 # yum -y install crypto-policies-scripts

檢查目前 policy (預設值應該 DEFAULT, 改過變成 DEFAULT:SHA1)

# update-crypto-policies --show

DEFAULT:SHA1

6.把舊機器上所有 Splunk 資料夾拷貝到新機器 (不管授權檔案、Index Database、設定)

scp -r -v  root@10.3.99.32:/opt/splunk  /opt

注意,不是下面,否ˋ則會多一層目錄

scp -r -v  root@10.3.99.32:/opt/splunk  /opt/splunk

7.啟動

/opt/splunk/bin/splunk  start

********************************************************************************

總結心得2

還一種方式,新舊並存,各 Log 回傳電腦的 Splunk Universal Forwarder 的設定改指向新機器,舊機器不在新增 Log,例如 Log 是保留半年,半年後舊機器就可以下線廢除了。只是這樣「報告」和「警示」等設定,在新機器上並須重新設定。

(完)

相關

[研究]Splunk Enterprise 8.2.6搬移舊資料到另一台 Splunk Enterprise 9.0.1新機器
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-splunk-enterprise.html

Move a peer to a new site - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/9.0.1/Indexer/Moveapeertoanewsite

Manage licenses from the CLI - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/9.0.1/Admin/LicenserCLIcommands

Splunk Enterprise 8.2.8 - Swap the license master
https://docs.splunk.com/Documentation/Splunk/8.2.8/Admin/Swapthelicensemaster

Splunk Enterprise 8.2.8 - Install a license
https://docs.splunk.com/Documentation/Splunk/8.2.8/Admin/Installalicense

[研究]Splunk Enterprise 8.2.6, 9.0.1 的 $SPLUNK_HOME 和 $SPLUNK_DB 環境變數值
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-splunkhome.html

[研究]Splunk Enterprise 8.2.6 升級安裝 9.0.1 (CentOS 6.10)
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-centos-610.html

[研究]Splunk Enterprise 9.0.1匯入原有 License
https://shaurong.blogspot.com/2022/10/splunk-enterprise-901-license.html

[研究]Splunk Enterprise 8.2.6 和 9.0.1執行 process 狀態
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-process.html

[研究]Splunk 授權檔目錄
https://shaurong.blogspot.com/2022/10/splunk.html

[研究]Splunk  Server 9.0.1於 Rocky Linux 9.0 安裝
https://shaurong.blogspot.com/2022/10/splunk-server-901-rocky-linux-90.html

[研究]Splunk  Server 9.0.1於 Rocky Linux 8.6 安裝
http://shaurong.blogspot.com/2022/10/splunk-server-901-rocky-linux-86.html

Splunk Product Comparison
https://www.splunk.com/en_us/software/features-comparison-chart.html

Splunk Free Trial and Downloads
https://www.splunk.com/en_us/download/splunk-light.html

Install on Linux - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/7.1.0/Installation/InstallonLinux

Launch Splunk Web - Splunk Documentation
https://docs.splunk.com/Documentation/SplunkCloud/latest/SearchTutorial/StartSplunk

[研究]Spunk Server上用iptables防火牆解決nmap發現的弱憑證簽章 Weak certificate signature SHA1弱點
https://shaurong.blogspot.com/2021/06/spunk-serveriptablesnmap-weak.html

[研究] Nessus 報告 Splunk port 8089 有 35291 - SSL Certificate Signed Using Weak Hashing Algorithm 弱點
https://shaurong.blogspot.com/2021/06/nessus-splunk-port-8089-35291-ssl.html

[研究] Splunk Enterprise Trial 8.1.3 (Splunk Free 8.1.3 ) 安裝 on CentOS 8 Stream
https://shaurong.blogspot.com/2021/04/splunk-enterprise-trial-813-splunk-free_29.html

[研究] Splunk Enterprise Trial 8.1.3 (Splunk Free 8.1.3 ) 安裝 on Windows Server 2019
https://shaurong.blogspot.com/2021/04/splunk-enterprise-trial-813-splunk-free.html

[研究]Splunk Universal Forwarder 8.1.3 for Windows 安裝
https://shaurong.blogspot.com/2021/04/splunk-universal-forwarder-813-for.html

[研究] Splunk Free 8.1.3 的 .deb 版安裝、設定與測試 on Ubuntu 20
https://shaurong.blogspot.com/2021/04/splunk-free-813-deb-on-ubuntu-20.html

[研究]更新 Splunk 8.1.1 後,發現 log 沒進來之解決
https://shaurong.blogspot.com/2020/12/splunk-811-log.html


沒有留言:

張貼留言