[研究]Splunk Enterprise 8.2.6搬移舊資料到 Splunk Enterprise 9.0.1新機器
2022-10-28
2022-11-19 更新
********************************************************************************
重點結論:(但仍建議先把整篇看完,可能要處理 ssh 問題)
新、舊機器上先停止 Splunk
/opt/splunk/bin/splunk stop
把舊機器上所有 Splunk 資料夾拷貝到新機器 (不管授權檔案、Index Database、設定)
scp -r -v root@10.3.99.32:/opt/splunk /opt
/opt/splunk/bin/splunk start
********************************************************************************
本篇測試直接把 Splunk Enterprise 8.2.6 (CentOS 6.10) 的資料搬移到另一台 Splunk Enterprise 9.0.1新機器 (Rocky Linux 9.0) 。
Move the index database - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/9.0.1/Indexer/Moveanindex
新機器先啟動一次 Splunk, /opt/splunk/var 目錄和其下子目錄才會產生,再停掉。
新、舊機器上先停止 Splunk
/opt/splunk/bin/splunk stop
如果一邊是使用OpenSSL 3.x 的 CentOS 9,一邊是使用OpenSSL 1.x 的 CentOS 6,CentOS 9上請先執行
update-crypto-policies --set DEFAULT:SHA1
systemctl restart sshd
systemctl status sshd
把舊機器上授權和 Index DB 資料拷貝到目前電腦 (新機器)
scp -r -v root@10.3.99.32:/opt/splunk/etc/licenses /opt/splunk/etc
scp -r -v root@10.3.99.32:/opt/splunk/var/lib/splunk /opt/splunk/var/lib
注意,不是下面,否ˋ則會多一層目錄
scp -r -v root@10.3.99.32:/opt/splunk/etc/licenses /opt/splunk/etc/licenses
scp -r -v root@10.3.99.32:/opt/splunk/var/lib/splunk /opt/splunk/var/lib/splunk
檢查
ls /opt/splunk/etc/licenses
********************************************************************************
實際測試 http://localhost:8000/zh-TW/ 登入,點「搜尋」,點「資料摘要」,點「主機」,有列出舊資料的主機名稱列表。
但點選「搜尋」,點「報告」和「警示」,發現2者並沒有拷貝過來。本篇搬移的目前只有授權檔案 ( License ),和 索引資料庫 (Index Database)
先把設定檔案升級
[研究]Splunk Enterprise 8.2.6 升級安裝 9.0.1 (CentOS 6.10)
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-centos-610.html
新、舊機器上先停止 Splunk
/opt/splunk/bin/splunk stop
設定檔案目錄拷貝過來
scp -r -v root@10.3.99.32:/opt/splunk/etc /opt/splunk
啟動
/opt/splunk/bin/splunk start
新機器上,選「搜尋」,點「報告」和「警示」,出現了。
********************************************************************************
總結心得
1.先把舊機器Splunk Enterprise 8.2.6 升級安裝 9.0.1
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-centos-610.html
2.[研究]Splunk Server 9.0.1於 Rocky Linux 9.0 安裝
https://shaurong.blogspot.com/2022/10/splunk-server-901-rocky-linux-90.html
新機器要安裝,是怕除了/opt/splunk目錄,還有安裝檔案到其他目錄,或有安裝其他套件需求。
3.啟動新機器 Splunk,/opt/splunk/var 目錄和其下子目錄才會產生,再停掉。
/opt/splunk/bin/splunk start
4.停止舊機器、新機器 Splunk
/opt/splunk/bin/splunk stop
5.如果一邊是使用OpenSSL 3.x 的 CentOS 9,一邊是使用OpenSSL 1.x 的 CentOS 6,CentOS 9上請先執行 (注意下面 DEFAULT 和 SHA1 之間是冒號)
update-crypto-policies --set DEFAULT:SHA1
systemctl restart sshd
systemctl status sshd
若沒有 update-crypto-policies 可用,可執行下面指令安裝
# yum -y install crypto-policies-scripts
檢查目前 policy (預設值應該 DEFAULT, 改過變成 DEFAULT:SHA1)
# update-crypto-policies --show
DEFAULT:SHA1
6.把舊機器上所有 Splunk 資料夾拷貝到新機器 (不管授權檔案、Index Database、設定)
scp -r -v root@10.3.99.32:/opt/splunk /opt
注意,不是下面,否ˋ則會多一層目錄
scp -r -v root@10.3.99.32:/opt/splunk /opt/splunk
7.啟動
/opt/splunk/bin/splunk start
********************************************************************************
總結心得2
還一種方式,新舊並存,各 Log 回傳電腦的 Splunk Universal Forwarder 的設定改指向新機器,舊機器不在新增 Log,例如 Log 是保留半年,半年後舊機器就可以下線廢除了。只是這樣「報告」和「警示」等設定,在新機器上並須重新設定。
(完)
相關
[研究]Splunk Enterprise 8.2.6搬移舊資料到另一台 Splunk Enterprise 9.0.1新機器
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-splunk-enterprise.html
Move a peer to a new site - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/9.0.1/Indexer/Moveapeertoanewsite
Manage licenses from the CLI - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/9.0.1/Admin/LicenserCLIcommands
Splunk Enterprise 8.2.8 - Swap the license master
https://docs.splunk.com/Documentation/Splunk/8.2.8/Admin/Swapthelicensemaster
Splunk Enterprise 8.2.8 - Install a license
https://docs.splunk.com/Documentation/Splunk/8.2.8/Admin/Installalicense
[研究]Splunk Enterprise 8.2.6, 9.0.1 的 $SPLUNK_HOME 和 $SPLUNK_DB 環境變數值
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-splunkhome.html
[研究]Splunk Enterprise 8.2.6 升級安裝 9.0.1 (CentOS 6.10)
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-901-centos-610.html
[研究]Splunk Enterprise 9.0.1匯入原有 License
https://shaurong.blogspot.com/2022/10/splunk-enterprise-901-license.html
[研究]Splunk Enterprise 8.2.6 和 9.0.1執行 process 狀態
https://shaurong.blogspot.com/2022/10/splunk-enterprise-826-process.html
[研究]Splunk 授權檔目錄
https://shaurong.blogspot.com/2022/10/splunk.html
[研究]Splunk Server 9.0.1於 Rocky Linux 9.0 安裝
https://shaurong.blogspot.com/2022/10/splunk-server-901-rocky-linux-90.html
[研究]Splunk Server 9.0.1於 Rocky Linux 8.6 安裝
http://shaurong.blogspot.com/2022/10/splunk-server-901-rocky-linux-86.html
Splunk Product Comparison
https://www.splunk.com/en_us/software/features-comparison-chart.html
Splunk Free Trial and Downloads
https://www.splunk.com/en_us/download/splunk-light.html
Install on Linux - Splunk Documentation
https://docs.splunk.com/Documentation/Splunk/7.1.0/Installation/InstallonLinux
Launch Splunk Web - Splunk Documentation
https://docs.splunk.com/Documentation/SplunkCloud/latest/SearchTutorial/StartSplunk
[研究]Spunk Server上用iptables防火牆解決nmap發現的弱憑證簽章 Weak certificate signature SHA1弱點
https://shaurong.blogspot.com/2021/06/spunk-serveriptablesnmap-weak.html
[研究] Nessus 報告 Splunk port 8089 有 35291 - SSL Certificate Signed Using Weak Hashing Algorithm 弱點
https://shaurong.blogspot.com/2021/06/nessus-splunk-port-8089-35291-ssl.html
[研究] Splunk Enterprise Trial 8.1.3 (Splunk Free 8.1.3 ) 安裝 on CentOS 8 Stream
https://shaurong.blogspot.com/2021/04/splunk-enterprise-trial-813-splunk-free_29.html
[研究] Splunk Enterprise Trial 8.1.3 (Splunk Free 8.1.3 ) 安裝 on Windows Server 2019
https://shaurong.blogspot.com/2021/04/splunk-enterprise-trial-813-splunk-free.html
[研究]Splunk Universal Forwarder 8.1.3 for Windows 安裝
https://shaurong.blogspot.com/2021/04/splunk-universal-forwarder-813-for.html
[研究] Splunk Free 8.1.3 的 .deb 版安裝、設定與測試 on Ubuntu 20
https://shaurong.blogspot.com/2021/04/splunk-free-813-deb-on-ubuntu-20.html
[研究]更新 Splunk 8.1.1 後,發現 log 沒進來之解決
https://shaurong.blogspot.com/2020/12/splunk-811-log.html
沒有留言:
張貼留言