Splunkサーバを作成した場合、基本Indexerが対象ですが、システムリソース(ulimit)の設定を変更しておく必要があります。そのメモ。参考は公式ドキュメント。
System requirements for use of Splunk Enterprise on-premises - Splunk Documentation
Open files と、User processes と、Data segment size を変えておけと。
limits.confを編集。対象はAmazon Linux 2。
$ tail /etc/security/limits.conf * soft nofile 65536 * hard nofile 65536 * soft nproc 16000 * hard nproc 16000 * - data 1048576
適当にユーザを切り替えてログインし直し、確認。
$ sudo su - # # ulimit -n 65536 # ulimit -u 16000 # ulimit -d 1048576
デフォルト設定で運用していると、Splunkのシステムログであるsplukd.logに下みたいなエラーを吐いている場合があります。
03-03-2011 21:50:09.027 INFO ulimit - Limit: virtual address space size: unlimited 03-03-2011 21:50:09.027 INFO ulimit - Limit: data segment size: 1879048192 bytes [hard maximum: unlimited] 03-03-2011 21:50:09.027 INFO ulimit - Limit: resident memory size: 2147482624 bytes [hard maximum: unlimited] 03-03-2011 21:50:09.027 INFO ulimit - Limit: stack size: 33554432 bytes [hard maximum: 2147483646 bytes] 03-03-2011 21:50:09.027 INFO ulimit - Limit: core file size: 1073741312 bytes [hard maximum: unlimited] 03-03-2011 21:50:09.027 INFO ulimit - Limit: data file size: 2147483646 bytes 03-03-2011 21:50:09.027 ERROR ulimit - Splunk may not work due to low file size limit 03-03-2011 21:50:09.027 INFO ulimit - Limit: open files: 1024 03-03-2011 21:50:09.027 INFO ulimit - Limit: cpu time: unlimited 03-03-2011 21:50:09.029 INFO loader - Splunkd starting (build 95063).
how to tune ulimit on my server ? - Question | Splunk Answers