Skip to content

Distribuert sok.

Oversikt over distribuert sok.

Distribuere distribuert sok.

Administrer distribuert sok.

Se distribuert sokestatus.

Oversikt over sokemotorklyptering.

Distribuer sokekonsolidering.

Konfigurer sokekonsolidering.

Oppdater sokehodeklyngemedlemmer.

Administrer sokekonsolidering.

Feilsok soketekstring.

Sok hodet pooling.

Monter kunnskapsbuntet.

Distribuert sok i handling.

Feilsok distribuert sok.

Distribuert sok.

Oversikt over distribuert sok.

Distribuere distribuert sok.

Administrer distribuert sok.

Se distribuert sokestatus.

Oversikt over sokemotorklyptering.

Distribuer sokekonsolidering.

Konfigurer sokekonsolidering.

Oppdater sokehodeklyngemedlemmer.

Administrer sokekonsolidering.

Feilsok soketekstring.

Sok hodet pooling.

Monter kunnskapsbuntet.

Distribuert sok i handling.

Feilsok distribuert sok.

Sok pa hovedenhetens konfigurasjonsproblemer.

Nar du implementerer sokemotorpooling, er det noen mulige problemer du bor v re oppmerksom pa, hovedsakelig a gjore med koordinering mellom sokehoder.

Autentifikasjons- og autorisasjonsendringer som er gjort i Splunk Web, gjelder kun for et enkelt sokehode.

Autentifikasjons- og autorisasjonsendringer som gjores gjennom et sokes hoveds Splunk Web, gjelder bare for det aktuelle sokehode og ikke for andre sokehoder i det bassenget. Hvert medlem av bassenget opprettholder sine lokale konfigurasjoner i $ SPLUNK_HOME / etc / system / local. For a dele konfigurasjoner over bassenget, sett dem opp i delt lagring, som beskrevet i "Konfigurere sokepolemassering".

Klokkeforskjell mellom sokehoder og delt lagring kan pavirke sokeadferd.

Det er viktig a holde klokkene pa sokehoder og delt lagringsserver i synkronisering, via NTP (nettverkstidprotokoll) eller pa lignende mate. Hvis klokka ikke er synkronisert med mer enn noen fa sekunder, kan du ende opp med sokefeil eller for tidlig utlop av sokeartifakter.

Tillatelsesproblemer pa den delte lagringsserveren kan forarsake svikt i pooling.

Pa hvert sokehode kjorer brukerkontoen Splunk som ma ha lese / skrive tillatelser til filene pa den delte lagringsserveren.

Ytelsesanalyse.

En stor prosentandel av problemer med sokepoolspooling koker ned til utilstrekkelig ytelse.

Nar du bruker eller undersoker et sokemotorpoolingmiljo, er det viktig a vurdere disse faktorene:

Lagring: Lagringsplassen som stotter bassenget ma kunne handtere et meget hoyt antall IOPS. IOPS under 1000 vil sannsynligvis aldri fungere bra. Nettverk: Kommunikasjonsveien mellom backing-butikken og sokehodene ma ha hoy bandbredde og ekstremt lav latens. Dette betyr trolig at lagringssystemet ditt skal v re pa samme bryter som sokehodene dine. WAN-koblinger kommer ikke til a fungere. Serverparallellisme: Fordi sokeresultater i et stort antall prosesser som ber om et stort antall filer, ma parallelliteten i systemet v re hoy. Dette kan kreve at du konfigurerer NFS-serveren til a handtere et storre antall foresporsler parallelt. Klientparallellisme: Klients operativsystem ma kunne handtere et stort antall foresporsler samtidig.

For a validere et miljo vil en typisk tiln rming v re:

Bruk et lagringsobservasjonsverktoy, for eksempel Bonnie ++, mens filbutikken ikke er i bruk for a bekrefte at IOPS-en er robust. Bruk nettverkstestingsmetoder for a fastsla at rundturstiden mellom sokehoder og lagringssystemet er i storrelsesorden 10ms. Utfor kjente enkle oppgaver som a lage en million filer og deretter slette dem. Forutsatt at de ovennevnte testene ikke har vist noen svakheter, utfor noen IO-lastgenerering eller kjor den faktiske Splunk Enterprise-belastningen mens du samler NFS-statdata for a se hva som skjer med NFS-foresporslene.

NFS-klientens samtidighetsgrenser kan forarsake sokeavbrudd eller sakte sokeadferd.

Sokeytelsen i et sokehovedbasseng er en funksjon av gjennomforingen av det delte lagringsomradet og soksjonsbelastningen. Den kombinerte effekten av samtidige sokebrukere og samtidige planlagte sok kjorer, vil gi totalt IOPer som det delte volumet ma stotte. IOP-kravene vil ogsa variere etter hva slags sok som kjorer. For a tilstrekkelig gi en enhet som skal deles mellom sokehoder, ma du vite antall samtidige brukere som sender sok og antall jobber / apper som skal utfores samtidig.

Hvis sokene utloper eller kjorer sakte, kan du v re utmattende det maksimale antall samtidige foresporsler som stottes av NFS-klienten. For a lose dette problemet ma du oke klientens samtidighet grense. For eksempel, pa en Linux NFS klient, juster tcp_slot_table_entries innstillingen.

NFS-latens for stor brukstelling kan padra seg konfigurasjonsadgangstid eller langsom forsendelse hoste.

Splunk Enterprise synkroniserer konfigurasjonsstatusen for sokhodens lagringsplass med minnemodus nar den registrerer endringer. I hovedsak leser den konfigurasjonen i minnet nar den oppdager oppdateringer. Nar det gjelder overbelastet sokebassengoppbevaring eller med stort antall brukere, apper og konfigurasjonsfiler, kan denne synkroniseringsprosessen redusere ytelsen. For a redusere dette kan minimumsfrekvensen for lesing okes, som omtalt i "Velg tidspunkt for konfigurasjonsoppdatering".

Advarsel om unikt servernavn attributt.

Hvert sokehode i bassenget ma ha et unikt servernavn attributt. Splunk Enterprise godkjenner denne tilstanden nar hvert sokehode starter. Hvis det oppdages et problem, genererer det denne feilmeldingen:

Den vanligste arsaken til denne feilen er at et annet sokehode i bassenget allerede bruker det nav rende sokehodet servernavn. For a fikse problemet, ma du endre det nav rende sokehodens serverName attributt i. system / local / server.conf.

Det er noen andre forhold som ogsa kan generere denne feilen:

Det nav rende sokehodet servernavn er endret. Gjeldende sokehovedets GUID er endret. Dette skyldes vanligvis at /etc/instance.cfg blir slettet.

For a lose disse problemene, kjor.

Dette oppdaterer filen pooling.ini med det nav rende sokehodeets servernavn -> GUID-kartlegging, overskriver noen tidligere kartlegging.

Artefakter og feilmeldte elementer i Splunk Web etter oppgradering.

Nar du oppgraderer samlede sokehoder, ma du kopiere alle oppdaterte apper - selv de som sender med Splunk Enterprise (for eksempel sokeprogrammet) - til sokehodebassengets delte lagring etter at oppgraderingen er fullfort. Hvis du ikke gjor det, kan du se artefakter eller andre feilaktige elementer i Splunk Web.

For a fikse problemet, kopier alle oppdaterte apper fra et oppgradert sokehode til det delte lagringsplasset for sokehovedbassenget, og ta vare pa a ekskludere den lokale underkatalogen for hver app.

Viktig: Ekskludering av den lokale underkatalogen for hver app fra kopiprosessen forhindrer overskriving av konfigurasjonsfiler pa delt lagring med lokale kopier av konfigurasjonsfiler.

Nar appene har blitt kopiert, start Splunk Enterprise pa nytt pa alle sokehoder i bassenget.

Denne dokumentasjonen gjelder for folgende versjoner av Splunk & reg; Bedrift: 6.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.0.8, 6.0.9, 6.0.10, 6.0.11, 6.0. 12, 6.0.13, 6.0.14, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.1.7, 6.1.8, 6.1.9, 6.1. 10, 6.1.11, 6.1.12, 6.1.13, 6.2.0, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.2.6, 6.2.7, 6.2.8, 6.2.9, 6.2.10, 6.2.11, 6.2.12, 6.2.13, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3. 7, 6.3.8, 6.3.9, 6.3.10, 6.3.11, 6.3.12, 6.4.0, 6.4.1, 6.4.2, 6.4.3, 6.4.4, 6.4.5, 6.4.6, 6.4.7, 6.4.8, 6.4.9, 6.5.0, 6.5.1, 6.5.1612 (kun Splunk Cloud), 6.5.2, 6.5.3, 6.5.4, 6.5.5, 6.5.6, 6.5 .7, 6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 7.0.0, 7.0.1, 7.0.2.

Sok pa hovedenhetens konfigurasjonsproblemer.

Tilbakemelding sendt, takk!

Du ma v re logget inn pa splunk.com for a kunne skrive kommentarer. Logg inn na.

Vennligst prov a holde denne diskusjonen fokusert pa innholdet som er omfattet av dette dokumentasjonsemnet. Hvis du har et mer generelt sporsmal om Splunk-funksjonalitet eller har problemer med Splunk, bor du vurdere a legge inn et sporsmal til Splunkbase Answers.


Hallo! Vil du spille i det mest populære kasinoet? Vi samlet det for deg. Gå her nå!