1: 背景:
今天客户发现Splunk lookup table 不能访问,而且owner 变成nobody, 这个case 是怎么引起的呢?又应该怎么解决呢?
上网查了资料,发现可能是建立这些table 的owner 离职,或者是其他原因,很奇怪就是有些是员工没有离职,就变成nobody, 想这个应该是splunk search head 在同步的过程中产生问题,后来发现了kv-store 的同步有问题,后来也解决了,解决的步骤,看我的另外一个blog:
[已解决]Splunk Kv-store sync 不能同步问题_shenghuiping2001的博客-CSDN博客
2 解决方法:
先去一个修改好的search head 上面,去修改:
/opt/splunk/etc/apps/search/meta.data 下面的local.meta 修改:
[lookups/abc_def.csv]
access = read : [ * ], write : [ gu