Introduzione
In questo documento viene descritto come risolvere i problemi relativi a un'operazione di creazione della raccolta non riuscita: "Risorsa già esistente" per il componente aggiuntivo Umbrella o l'app Cloud Security.
Premesse
Alcuni clienti possono riscontrare un errore dopo aver configurato il componente aggiuntivo Cisco Umbrella per Splunk o l'app Cisco Cloud Security per Splunk. Risultato finale: nessun dato di registro acquisito in Splunk. Nei log di debug del componente aggiuntivo o dell'app viene visualizzato questo errore:
HTTPError(response) splunklib.binding.HTTPError: HTTP 500 Internal Server Error -- Failed to create collection: resource already exists
Causa
Questo errore si verifica se è stato configurato il componente aggiuntivo o l'app, l'ha eliminato in precedenza e ha tentato di aggiungerlo di nuovo.
Quando l'app viene disinstallata, splunkd in genere attiva una funzione di ricaricamento che sincronizza la configurazione più recente con i dati della raccolta nel database e rimuove la raccolta se non viene trovata una configurazione corrispondente - raccolta orfana. Tuttavia, l'implementazione di ricaricamento in KVService non riesce a eseguire questa operazione, lasciando questa raccolta orfana in KVService.
Quando l'app viene reinstallata, non trova il file di configurazione, come è stato rimosso nel passaggio precedente, ma quando tenta di crearlo ha esito negativo perché KVService ha ancora la raccolta presente nel contesto dell'app.
Risoluzione
Per risolvere il problema, aggiornare il server Splunk alla versione 9.1.2312.104. Se l'aggiornamento non è un'opzione, aprire un ticket di supporto con il supporto Splunk. Hanno un processo per pulire la collezione orfana.
Per ulteriori informazioni, fare riferimento alla seguente KB di supporto per lo splunk: https://splunk.my.site.com/customer/s/article/Failed-to-create-collection.
Feedback