Splunk的许可证制度，你了解多少？

当当当～ Splunk小课堂开课啦！这是一个连载的新栏目，希望把Splunk产品的使用方法和最佳实践的小窍门分享给大家。

Splunk 小课堂

第一课：Splunk使用许可

难度：入门级

摘要：

用过Splunk企业版的小伙伴们应该都知道，Splunk是通过购买不同功能和配额的许可证（License）进行收费的。那么，许可证怎么装？怎么配？配额怎么计算？用超了怎么办？今天我们就来聊一聊。

讲师：张荑(tí) Grace，大盛娱乐绘画俱乐部资深助教及毽球俱乐部副会长

主要概念

什么是Splunk许可证？

Splunk许可证可以理解为开启Splunk企业版功能集合的钥匙。不同的Splunk许可证可以启用相应的Splunk功能集合。

Splunk企业版在不同的拓扑下扮演着不同的角色。在聊到Splunk许可证时，Splunk扮演的角色分为两种：

主服务器（License Master）：安装许可证的Splunk Instance扮演主服务器的角色。

从服务器（License Slave）：没有安装许可证，但需要进行数据索引（index）的Splunk叫做从服务器。可以为从服务器配置一个主服务器，定时向主服务器报告索引的数据（默认每分钟报告一次）。

Splunk许可证中常见的概念还有：

配额(quota)：每天可以索引的数据最大量。

许可证警告（License Warning）：超过配额的从服务器在午夜12点会收到一条来自主服务器的警告。

许可证违规（License Violation）：在一定的窗口时间（默认30天）收到一定数量（最高5条）警告的从服务器将会进入许可证违规状态。 本地搜索将会被禁止。

License group, stack and pool：如下图所示，这三者中前者对后者是一对多的关系。

Splunk许可证的类型

Splunk许可证主要有以下几种类型：

1.Enterprise License

Enterprise License为客户购买由Splunk官方授权的许可证，Splunk全部的功能都可以使用。其中，许可证的使用期限与可使用的索引数据量是由License File决定的。

2. Splunk安装包自带的许可证：

2.1Trial License。初次下载安装运行的Splunk使用的许可证就是Trial License，即试用版许可证。Trial License 可启用Splunk全部的功能，其与Enterprise License 的不同有两点：一是配额被限定为固定值，每天最高索引500MB 数据；二是 Trial License 会在Splunk首次启动的60天后过期。 过期后Splunk将自动切换到Free License。

2.2Free License。Free License仅启用了Splunk的部分功能。例如index cluster, search head cluster等功能将不能在Free License下使用。Trial和Enterprise License过期后，Splunk都将自动切换到Free License。当然，你也可以手动自己切换至Free License。

3.Dev/Test License。任何Splunk企业版的客户都可以申请一个免费个人使用的Splunk Dev/Test License，可以在6个月内每天索引最高50GB的数据。Dev/Test License旨在不破坏客户生产环境的前提下，最大限度的探索数据的价值和测试用户场景。

注意：Dev/Test License仅限于6.5以上的Splunk独立实例使用，且不能与其他的Enterprise License叠加安装。安装使用过Dev/Test License的童鞋应该都有注意到主服务器的web界面左上角的橘色圆圈标识，提示当前的环境为非生产环境。

Dev/Test License 申请通道：

https://www.splunk.com/en_us/resources/personalized-dev-test-licenses.html

安装Splunk许可证

安装Splunk许可证非常简单，在Splunk右上角的Settings菜单中选择Licensing

（授权）即可。

配置从服务器

是八是很简单？此处略敲一敲黑板，咳咳，请注意在配置的时候，从服务器的版本不高于主服务器的版本。一个主服务器可以有多个从服务器。反之，一个从服务器只能同时从属一个主服务器。

许可证的工作方式

Splunk计算索引的数据量，默认每分钟将当天累计的索引量作为许可证使用数据发送给主服务器。如下图所示，主服务器将会展示出所有的从服务器当天的索引数据量以及在License Pool中的占比。

这里敲一下黑板：假设你当前的生产环境中主服务器有成千上万台从服务器，那这台主服务器有可能会来不及响应和处理所有从服务器的请求。这种情况下，为了在一定程度上提高主服务器的性能，可以降低从服务器发送索引量数据的频率。

划重点：在server.conf里配置report_interval。可配置范围值为1m~1h。默认为1m (1分钟)。

许可证配额怎么算？

一般说来，只有客户按需索引进入Splunk的数据才会被计费。

Q: 内部索引（internal index）的数据会被计算进许可证配额嘛?

A: 答案是不会啦~~~ 所有_开头的索引都是内部索引，存储的是Splunk的metrics数据，这些数据是不会计费哒。

Q: Indexer cluster里面indexer之间会重复索引的数据，这些会被计费嘛？

A: 答案也是否定滴~ Splunk不会对重复索引的数据进行重复计费。

许可证警告

1. 哪些情况下会产生什么样子的许可证警告呢？

License pool的配额被所属的从服务器超量索引了，那么所有的从服务器都会收到一条pool_over_quota警告

如果一个不小心某个从服务器没有从属的pool了，例如pool被误删掉了而又忘记分配到新的pool里，那么这个从服务器就变成了孤魂野鬼，索引数据之后，它就会收到一条orphan_slave警告

当所有的pool属于正常营业，而其所属的从服务器索引的数据量总和超过了Stack的配额时，所有在编的从服务器都会收到一条stack_over_quota警告

2. 收到许可证警告了怎么破?

首先，不要惊慌。如果当天索引量超过了pool的配额，那么有两个办法可以消除警告：

将超量的从服务器配置到拥有更高可用配额的pool里。(这一招对孤魂野鬼从服务器也适用)

假若stack还有多余的配额，分配更多的配额给到这个pool。

PS:以上请在午夜12点之前操作，就可以消除相应的警告。假如已经过了12点，那么这个警告就不会消除了哦~

其次，对于stack_over_quota警告，我只能说，亲，你家库存告急，请联系销售专员更新你的许可证。因为一般只有许可证过期了才可能会有这种情况发生。

许可证违规

超量太多次，产生太多无法消除的许可证警告，Splunk会进入许可证违规状态。说到这里，又需要敲一下黑板强调一下重点：Splunk许可证违规状态仅禁止搜索非内部索引的数据 (disable search)，并不会限制其他的任何功能，例如索引数据、实例之间的数据备份等功能是继续正常工作的。

道理我都懂，别说这些没用的，道长可有什么破解之法？当当当~

6.5之前版本的Splunk，向你的销售专员申请重置许可证以清除许可证警告。

6.5及以后版本的Splunk，安装No-enforcement License。

What??? 什么是No-enforcement License？

No-enforcement License 也是Enterprise License的一种，可以与其他Enterprise License安装在一起。有了这个许可证，即使你的从服务器由于索引超量过多次已经处于违规状态，搜索也不会被禁止。Splunk企业版的客户都可以向销售专员申请No-enforcement License哦～

除此之外，从服务器持续无法访问主服务器超过72小时也会进入违规状态哦~

Best Practices

将所有的许可证安装到同一个Splunk实例上，配置其作为主服务器，以给不同的从服务器分配不同的License pool的形式来管理所有的许可证。

使用License usage report来管理License pool的使用情况，以适时调整License pool的配额分配。

6.5+以上的用户，请使用No-enforcement License

Quiz

看看这期的内容你消化了多少？来做几道小测试题吧！

1. 在这一期的文章中，我们一共介绍了几种主要的许可证?

3

4

5

6

2. 以下主服务器 (LM) 和从服务器 (LS) 搭子，哪一对是最不像话的?

Splunk Enterprise 7.0.0(LM)+ Splunk Enterprise 7.0.0(LS)

Splunk Enterprise 6.7.0(LM)+ Splunk Enterprise 7.0.0(LS)

Splunk Enterprise 6.7.0(LM)+ Splunk Enterprise 6.6.1(LS)

Splunk Enterprise 5.0.0(LM)+ Splunk Enterprise 5.0.0(LS)

3. 假如你的环境中一个从服务器一天索引的数据超过了其所在的pool的配额，你会怎么办?

大喊：“啊！圣主啊！请赐予我更多的配额~”

紧紧闭上双眼，当做没看见

朗诵七言绝句——“夜雨寄北”

分配更多的配额给其所属的License Pool或将其连接到另一个配额比较大的pool

4. 突然有一天小明发现自己的Splunk处于许可证违规状态，并且停止索引数据了，非常火大。你说这锅Splunk使用许可背不背?

你的锅，你不背谁背

这锅太沉，我们不背

我们都有一个家，名字叫中国…

兄弟姐妹都很多景色也不错…

5. 又一天小明发现自己的Splunk无法搜索内部索引的数据了，可能是以下什么情况?

许可证过期了

处于许可证违规状态

此Splunk成为了孤魂野鬼并持续了72+小时之久

拼错SPL了…

感谢认真阅读到这里的童鞋，把你答案通过留言发送给小编，首位答对的朋友会获得我们的奖品哦！