Einleitung
In diesem Dokument wird die Fehlerbehebung bei einer "Failed create collection: resource already exist" (Ressource bereits vorhanden) für Umbrella Add-On oder Cloud Security App.
Hintergrundinformationen
Bei einigen Kunden kann nach der Konfiguration des Cisco Umbrella Add-On für Splunk oder der Cisco Cloud Security App für Splunk ein Fehler auftreten. Endergebnis: Es werden keine Protokolldaten in Splunk aufgenommen. Debug-Anmeldungen im Add-On oder in der App zeigen diesen Fehler an:
HTTPError(response) splunklib.binding.HTTPError: HTTP 500 Internal Server Error -- Failed to create collection: resource already exists
Ursache
Dieser Fehler tritt auf, wenn Sie das Add-On oder die App eingerichtet, zuvor gelöscht und erneut versucht haben, es hinzuzufügen.
Wenn die App deinstalliert wird, löst splunkd normalerweise eine Neuladefunktion aus, die die aktuelle Konfiguration mit den Erfassungsdaten in der Datenbank synchronisiert, und entfernt die Sammlung, wenn keine entsprechende Konfiguration gefunden wird - verwaiste Sammlung. Bei der Reload-Implementierung in KVService ist dies jedoch nicht der Fall, sodass diese verwaiste Auflistung in KVService verbleibt.
Wenn die App neu installiert wird, findet sie die Konfigurationsdatei nicht, wie sie im vorherigen Schritt entfernt wurde. Wenn sie jedoch versucht, sie zu erstellen, schlägt sie fehl, da der KVService weiterhin die Auflistung im App-Kontext enthält.
Auflösung
Um das Problem zu beheben, aktualisieren Sie den Splunk-Server auf Version 9.1.2312.104. Wenn das Upgrade keine Option ist, öffnen Sie ein Support-Ticket mit Splunk-Support. Sie verfügen über einen Prozess zum Bereinigen der verwaisten Auflistung.
Weitere Informationen finden Sie in der folgenden Splunk-Support-KB: https://splunk.my.site.com/customer/s/article/Failed-to-create-collection
Feedback