Splunk 打开 9997 port

1: 今天配置search head 的outputs.conf 文件的时候，发现报错：说port ：9997 没有打开。

我登入到indexer 上面，发现果然没有打开，看了一些资料，发现如果是单机instance 的话，去setting -> Forwarding and Recieveing 里面可以在 receiving 里面设置 9997 port.

设置好以后，就会发现：生成了如下文件：inputs.conf

[splunktcp://:9997]
disabled=false

2: 因为我的splunk 是cluster 的环境，先检查一下旧的indexer环境：

splunk cmd btool inputs list splunktcp --debug

发现在一个app 下面：

/opt/splunk/etc/slave-apps/XXXX/default/inputs.conf [splunktcp://:9997]

原因找到，原来这个在新的环境下没有配

3: 解决方法：

去cluster master server 上面： /opt/splunk/etc/master-apps/XXXXX/default. 下面编辑文件：

cat inputs.conf

[splunktcp://:9997]
disabled=false

4: 在cluster master 上面发布： splunk apply cluster-bundle. 发现在indexer 9997 port 已经open.