Splunkサーバを作成した場合、基本Indexerが対象ですが、システムリソース(ulimit)の設定を変更しておく必要があります。そのメモ。参考は公式ドキュメント。

System requirements for use of Splunk Enterprise on-premises - Splunk Documentation

Open files と、User processes と、Data segment size を変えておけと。

limits.confを編集。対象はAmazon Linux 2。

$ tail /etc/security/limits.conf
*       soft    nofile  65536
*       hard    nofile  65536
*       soft    nproc   16000
*       hard    nproc   16000
*       -       data    1048576

適当にユーザを切り替えてログインし直し、確認。

$ sudo su -
#
# ulimit -n
65536
# ulimit -u
16000
# ulimit -d
1048576

デフォルト設定で運用していると、Splunkのシステムログであるsplukd.logに下みたいなエラーを吐いている場合があります。

03-03-2011 21:50:09.027 INFO  ulimit - Limit: virtual address space size: unlimited
03-03-2011 21:50:09.027 INFO  ulimit - Limit: data segment size: 1879048192 bytes [hard maximum: unlimited]
03-03-2011 21:50:09.027 INFO  ulimit - Limit: resident memory size: 2147482624 bytes [hard maximum: unlimited]
03-03-2011 21:50:09.027 INFO  ulimit - Limit: stack size: 33554432 bytes [hard maximum: 2147483646 bytes]
03-03-2011 21:50:09.027 INFO  ulimit - Limit: core file size: 1073741312 bytes [hard maximum: unlimited]
03-03-2011 21:50:09.027 INFO  ulimit - Limit: data file size: 2147483646 bytes
03-03-2011 21:50:09.027 ERROR ulimit - Splunk may not work due to low file size limit
03-03-2011 21:50:09.027 INFO  ulimit - Limit: open files: 1024
03-03-2011 21:50:09.027 INFO  ulimit - Limit: cpu time: unlimited
03-03-2011 21:50:09.029 INFO  loader - Splunkd starting (build 95063).

how to tune ulimit on my server ? - Question | Splunk Answers