Fejl i Splunk-produkter kræver hurtig reaktion

En kernefunktionalitet i Splunk er tidsstemplet - timestamp - for data, da Splunk ordner data efter tid. Timestamps kommer i rigtigt mange formater, og Splunk indeholder derfor funktioner til konfigurering af korrekt parsing af disse timestamps.

Fejlen

Splunk har identificeret en fejl, der betyder, at data kan blive manglende eller inkonsistente i brug.

Fejlen findes i måden, Splunk håndterer timestamps med et to-cifret årstal efter 1. januar 2020. Det betyder at man kan komme i en situation, hvor Splunk forstår 2020 som 1920 - hvilken igen kan føre til ovennævnte inkonsistens.

Versioner

Fejlen gælder for følgende Splunk-produkter:

Splunk Enterprise
Splunk Light
Splunk Cloud - gældende for de kunder, der anvender forwardere

Fejlen findes i alle andre versioner, end nyeste releases. Fejlen er allerede løst i version 7.3.3 (som er den eneste med et fix, der er tilgængelig på nuværende tidspunkt).

Desuden vil fejlen være løst i følgende kommende releases:

  • 8.0.1
  • 7.2.9.1
  • 7.1.10

Løsning

Der findes på nuværende tidspunkt tre løsninger til fejlen:

  1. Opgradering til en version af Splunk, hvori fejlen er løst
  2. Opgradering af konfigurationen med parsing af timestamps
  3. Tilretning af konfigureringen med parsing af timestamps

Netic anbefaler alle kunder at opgradere til en version, hvori fejlen er rettet. Dermed vil også andre mindre kritiske fejl blive rettet.

Hvis du ønsker Netics assistance med opgradering eller fejlretning, vil opgaven naturligvis være afhængig af Splunk-installationens størrelse. For en typisk installation vil en opgradering kunne klares på ca. 2-4 timer.

Læs mere om fejlen i Splunks release notes her: https://docs.splunk.com/Documentation/Splunk/8.0.0

Kontakt gerne Netic for yderligere information eller behov for assistance med opgradering eller fejlretning.

KarthyJT

 

Del indhold