Я пытаюсь «обновить» Splunk с 7.2.5 до 8.0.3. Splunk работает на виртуальной машине RHEL7 в контейнере docker из Splunk. (На самом деле мы не обновляем Splunk, мы переходим на новый контейнер на новой виртуальной машине.) Благодаря автоматизации мы изменили наш контейнер etc / system / local / input.conf для работы с SSL в соответствии с документацией Splunk, и в 7.2. .5 это работает.
В 8.0.3 мы обнаруживаем, что записи конфигурации в файле input.conf стираются при каждом перезапуске docker. (/ opt / splunk - это папка, смонтированная в контейнере, чтобы она сохранялась.) Splunk не «восстанавливает» файл (например, из папки ../defaults) - в ходе тестирования мы обнаружили, что некоторые комментарии выжить, но записи конфигурации для SSL удаляются, а Splunk 8 не работает с использованием SSL.
server.conf также становится засоренным.
Кто-нибудь еще заметил это поведение?
Перед перезапуском:
[default]
host = edb999320984
# BEGIN ANSIBLE MANAGED BLOCK
[splunktcp-ssl:9997]
disabled = 0
[SSL]
serverCert = /opt/splunk/etc/...
requireClientCert=false
# END ANSIBLE MANAGED BLOCK
После перезапуска остается только:
[splunktcp://9997]
disabled = 0
# BEGIN ANSIBLE MANAGED BLOCK
Еще одна вещь, которую мы замечаем, состоит в том, что в Splunk 7 файлы принадлежат 999: 999 , В Splunk 8 владельцем / группой является 41812: 41812. Однако, с поправкой на это, наши изменения в конфигурации все еще теряют свою актуальность.