Splunk Deployment Server

Splunk Deployment Server es una app que te ayuda a mantener la infraestructura de servidores con SUF (splunk universal forwarder) instalado. En vez de cambiar la configuración a mano se hace todo desde aquí. Muy cómodo, aunque bastante más rudimentario de lo que me esperaba (finales del 2022, ¿Alguien se acuerda?).

Lo primero … el manual.

https://docs.splunk.com/Documentation/Splunk/9.0.2/Updating/Deploymentserverarchitecture

Una vez instalada la instancia, todo se hace desde settings -> distributed environment -> Forwarder management

El tema aqui va de:

Apps -> Defines un tipo de servidor (por ejemplo, windows dcs). ¿Esto qué significa?, pues que te tienes que ir al directorio c:\Program Files\Splunk\etc\deployment-apps\ y crear un directorio.

Dentro de ese directorio que acabas de crear añades otro local y ahí le dejas los ficheros que quieres que se sincronicen (en nuestro caso solo el inputs.conf

Después desde el server tienes que poner esa app que acabas de crear en enable y además decirle que restart splunk porque si no el fichero se sincroniza pero al no reiniciarse es como el que tiene tos … en fin.

Ahora en la parte cliente (en los servidores con SUF). Si lo estás instalando no tiene ningún misterio, en cuanto te pida la url del deployment se la pones y listo (xxx.xxx.xxx:8089).

Si los tienes montados tienes que añadir un fichero deploymentclient.conf con el siguiente contenido.

[deployment-client] [target-broker:deploymentServer] tergetUri = xxx.xxx.xxx:8089

Y como siempre, reiniciar el servicio (Splunk universal forwarder).

Al poco rato (segundos) empiezas a ver clientes (servidores) en tu servidor, pero sin ninguna aplicación asignada, cosa que te toca hacer a mano y que tiene un sistema como poco peculiar de asignación.

En vez de poner un desplegable o algo similar tienes que entrar en server classes, después editas (en la parte de abajo, donde pone clients y ahi tienes que poner un filtro (del tipo mismaquinas*dc o similar), más bien tienes que poner todos los filtros que sean necesarios para que todas tus máquinas entren en ellos, cuanto menos curioso.

Ojo que puedes tener una máquina en dos apps, así que ojo con esos filtros.

Funcionar, funciona … pero es un poco raro, tengo que seguir experimentando. Al menos ya no hay que entrar maquina por maquina.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.