9.x から Splunk エンタープライズおよびクラウドプラットフォーム 10.0 へのアップグレード準備

OpenSSL ライブラリのバージョンアップデート

• サマリー: ザ・ Splunk Enterprise と Splunk クラウドプラットフォームに同梱されている OpenSSL ライブラリは、バージョン 1.0.2 から 3.0 に更新される予定です。
• 影響を受けるお客様 : Python で実装され、直接連携するアプリを使用する Splunk Enterprise および Splunk Cloud Platform のお客様 OpenSSL ライブラリに含まれる低レベル API 。
• 問題の検出と軽減 : OpenSSL 1.0.2 にある非推奨の低レベル API に直接依存する Python コードでは、特に Splunk Enterprise 10.0 へのアップグレード後に FIPS モードで障害が発生する可能性があります。これは、一部の API が OpenSSL 3.0 では FIPS に準拠していないためです。OpenSSL API に直接依存しているアプリは、サポートされている OpenSSL 3.0 の API を使用するように更新する必要があります。

Python ランタイム環境バージョンの更新と古いバージョンのサポートの削除

• 概要 : Splunk Enterprise と Splunk Cloud Platform に同梱されている Python ランタイム環境は、バージョン 3.7 から 3.9 に更新されます。さらに、バージョン 2.7 と 3.7 を含む古いバージョンの Python のサポートも削除されます。Python で実装されているアプリは Python 3.9 と互換性がある必要があります。
• 影響を受けるお客様 : Python 2.7 または Python 3.7 に依存するアプリを使用する Splunk Enterprise のお客様。
• 問題の検出と軽減 : Splunk プラットフォームは Python スクリプトで発生した障害をログに記録しますが、 _internal からのインデックス python.log ソース、これだけに頼らないでください。使用するミッションクリティカルなアプリが Python v3.9 で動作することがテストされていることを確認してください。以下を編集して、アプリコードに Python v3.9 を強制的に使用するように Splunk プラットフォームインスタンスを設定します。 server.conf 設定ファイルと、 [general] スタンザ、セット python.version=force_python3 。このオプションは、Splunk Enterprise バージョン 9.2 以降を使用しているお客様が利用できます。次に、ミッションクリティカルなアプリの機能が期待どおりに動作することを徹底的に確認します。

Node.js JavaScript ランタイム環境のバージョンアップデートへのアップグレード

• サマリー : Splunk Enterprise と Splunk Cloud Platform に同梱されている Node.js ランタイム環境は、バージョン 8 からバージョン 20 にアップデートされます。Node.js も廃止される予定です。Node.js を使用するバックエンド JavaScript コードを実行するアプリは、バージョン 20.18.2 以降と互換性があり、独自の Node.js をバンドルする必要があります。
• 影響を受けるお客様 : Node.js ランタイムを使用してバックエンド JavaScript を実行する Splunk アプリを使用する Splunk エンタープライズまたは Splunk クラウドプラットフォームのお客様。
• 問題検出と 緩和 : Node.js を使用するすべてのアプリが、のバージョン 20 と互換性があることを確認してください このランタイム 。方法の詳細はこちら Node.js をアプリにバンドルする 。

OpenSSL3 のため、認証局 (CA) の証明書が必要です

• サマリー : Splunk ソフトウェアでは、すべての CA 証明書に X509v3 基本制約拡張が含まれていなければなりません。 CA: TRUE この値は OpenSSL3 の要件によるものです。
• 影響を受けるお客様 : 以下のいずれかを使用するすべてのお客様
  • Splunk エンタープライズ、または
  • Splunk クラウドプラットフォーム (カスタマーマネージドを含む)
    • フォワーダー (ユニバーサルまたはヘビー)、または
    • フェデレーテッド・サーチ・ノード。
• 問題の検出と軽減 : 以下を含まないすべての CA 証明書 CA: TRUE X509v3 基本制約セクションでは、Splunk ソフトウェアで使用中のこの設定で新しい証明書を再発行する必要があります。

OpenSSL3 により、SHA1 で署名された証明書はサポートされなくなりました

• 概要: : Splunk プラットフォーム 10 以降、OpenSSL3 により、SHA-1 署名付きの証明書は受け付けられなくなりました。
• 影響を受けるお客様 : 以下のいずれかを使用するすべてのお客様
  • Splunk エンタープライズ、または
  • Splunk クラウドプラットフォーム (カスタマーマネージドを含む)
    • フォワーダー (ユニバーサルまたはヘビー)、または
    • フェデレーテッド・サーチ・ノード。
• 問題の検出と軽減 : 現在 SHA-1 を使用しているすべての Splunk システム証明書を再発行し、SHA-256 以上の署名に移行する必要があります。

TLS ネットワークセキュリティプロトコルバージョン 1.2 以降が必要です

• 概要: : トランスポート層セキュリティ (TLS) または Secure Sockets Layer (SSL) プロトコルバージョンを定義するアプリまたはシステム構成では、TLS バージョン 1.2 のみを使用する必要があります。Splunk プラットフォーム 10.0 は TLS 1.0 と TLS 1.1 を 5 年以上前に廃止されたバージョンでも引き続きサポートしますが、お使いの Splunk ソフトウェアが FIPS モードで動作している場合、これらのプロトコルは特に無効になります。
• 影響を受けるお客様 : Splunk ソフトウェアを FIPS モードで実行しているお客様は、廃止されたプロトコルの使用に対応する必要があります。Splunk Enterprise と Splunk Cloud Platform の他のすべてのお客様、および廃止予定の TLS/SSL プロトコルに依存しているすべての Splunk アプリ開発者は、廃止予定のプロトコルの使用に対して積極的に対策を講じる必要があります。
• 問題の検出と軽減 : Splunk Enterpriseのお客様の場合、廃止されたネットワークセキュリティプロトコルの使用は、Splunk Health Assistantアドオンを通じてSplunk Enterpriseモニタリングコンソールに表示される新しいチェックによってフラグ付けされます。Splunk Cloud Platform では、クラウドモニタリングコンソールがこれらのアラートを表示します。すべてのネットワークセキュリティ設定を TLS v1.2 のみに移行してください。

FIPS 140-3 の拡張マスターシークレット要件

• サマリー : FIPS パブリケーション #140 -3 は、すべての接続に固有のセッションキーを保証する TLS セキュリティ機能である拡張マスターシークレット (EMS) を適用しています。OpenSSL バージョン 1 と FIPS パブリケーション # 140-2 モジュールは EMS をサポートしていません。つまり、FIPS モードがオンになっているデプロイメントの Splunk プラットフォームデプロイメント内のすべてのノード (フォワーダー、サーチヘッド、インデクサー、管理ノード、Federated Search コンポーネントを含む) を Splunk プラットフォームの次のバージョンに更新し、FIPS 140-3 モードを使用するように設定する必要があります。Splunk は、このプロセスを文書化した詳細なアップグレードガイドを公開する予定です。
• 影響を受けるお客様 : FIPS 準拠環境で Splunk プラットフォームを使用するお客様。
• 問題検出と 緩和 :
  • 環境が FIPS に準拠している Splunk Enterprise のお客様は、まず FIPS 140-2 と 140-3 の両方をサポートしている Splunk Enterprise 10.0 にアップグレードする必要があります。アップグレードガイドが公開されたら、そのガイドに注意深く従ってください。
  • Splunk Cloud Platform FedRAMPのお客様は、Splunkサポートに連絡して、Splunk Cloud Platformの導入に含まれるすべての検索ヘッドとインデクサーをFIPS 140-2を搭載したSplunkクラウドプラットフォーム10.0にアップグレードした後、すべてのフォワーダーをFIPS 140-2を使用してSplunkプラットフォームの次のバージョンに更新するように調整する必要があります。これらの手順を完了したら、お客様がすべての顧客管理コンポーネントをFIPS 140-3に更新している間、お客様はSplunkサポートに再度連絡して、すべてのSplunk Cloud PlatformコンポーネントでFIPS 140-3を有効にする必要があります。

サポートされている CPU 命令セットへの変更

• サマリー : アドバンスト・ベクター・エクステンション (AVX) を搭載した CPU のサポート。Splunk Enterprise 10.0 にアップグレードするには、ソフトウェアを実行するコンピューターが以下のアーキテクチャをサポートしていることを確認してください。
  • インテル:Sandy Bridge 以降のコアプロセッサーファミリー、ストリーミング SIMD 拡張機能 (SSE) 4.2、AVX、および高度暗号化標準 — 新命令 (AES-NI) 命令セット搭載。
  • AMD: AVX 命令セットを搭載したブルドーザーまたはそれ以降のプロセッサ。
• 影響を受けるお客様 : Westmereまたはそれ以前のアーキテクチャ (Core i3、i5、i7、Xeon、Pentiumファミリーなど) を使用する古いインテルCPU、または第3世代ブルドーザーまたはそれ以前のアーキテクチャ (OpteronやAMD FXファミリーなど) を使用する古いAMD CPUを搭載したコンピューターを実行しているSplunk Enterpriseのお客様。
• 問題の検出と軽減 : サポートされていない CPU を搭載したマシンで Splunk Enterprise を実行しているお客様は、Splunk Enterprise 9.3.x 以前のバージョンを引き続きご利用いただく必要があります。

Hadoop データロールはデフォルトでオフになっています

• サマリー : Hadoop データロールインデックスバケットデータアーカイブサービスは Splunk Enterprise 9.4 で廃止され、Splunk Enterprise 10.0 ではサポートされなくなります。
• 影響を受けるお客様 : 現在 Hadoop データロールを利用している Splunk エンタープライズのお客様。
• 問題の検出と軽減 : Hadoop データロールを利用しているお客様は、Splunk Enterprise 9.4 以下に移行するか、Splunk Enterprise 9.4 以前のバージョンに移行し続ける必要があります。その他のインデックス付きデータアーカイブオプションの詳細をご覧ください。 こちら 。

安全でないv1検索APIはデフォルトでオフになっています

• 概要:Splunk Search API の v1 に依存しているすべてのアプリまたはスクリプト。
• 影響を受けるお客様 : Splunk Enterprise および Splunk Cloud Platform のお客様、特に古いバージョンの Splunk 機械学習ツールキット (MLTK) や Splunk App for SOAR Export (SASE) を使用しているお客様、または Search API の v1 を利用するカスタムアプリやサードパーティアプリを使用しているお客様。これらのアプリでサポートされているバージョンは MLTK v5.5 以降です。 SOAR エクスポート用 Splunk アプリ (SASE) v4.3.26、 SOAR 用 Splunk アプリ (SAS) v.1.0.72、および スプランクコネクタ バージョン 2.12.0 以降。
• 既知の問題 : v2 Search API との互換性を保つには、Splunk エンタープライズセキュリティアプリと Splunk ITSI アプリを今後更新する必要があります。これらのアプリケーションアップデートをインストールする前に Splunk Enterprise 10.0 に移行するお客様は、アプリケーションを元に戻す必要があります。 v1APIBlockGETSearchLaunch restmap.conf 設定ファイル内の設定は、 false 互換性を維持するため。これは、Splunk エンタープライズセキュリティや Splunk ITSI の更新が可能になるまでの短期的な回避策としてのみ推奨されます。
• 問題の検出と軽減 : Splunk は Splunk Health Assistant アドオンを通じて Splunk エンタープライズモニタリングコンソールに準備状況チェックを行います。このアドオンは、アプリがサポートされていないバージョンの Search API を呼び出したときにそれを識別します。Splunk Cloud Platform のお客様は、Splunk クラウドモニタリングコンソールを通じて同じ機能を利用できます。お客様は、Splunk プラットフォームのデプロイを次のプラットフォームバージョンに更新する前に、次のアクションを実行する必要があります。
  • このセクションで前述したアプリのいずれかを、入手可能な最新バージョンに更新してください。
  • ビュー Splunk ヘルプ 非推奨となっている残りの REST 呼び出しのソースを特定する方法については、こちらを参照してください。
  • を更新 v1APIBlockGETSearchLaunch の設定は [global] スタンザの restmap.conf へのファイル true 。次に、アプリが引き続き期待どおりに動作することを確認します。問題が発生したアプリを更新して、対応する v2 Search API エンドポイントを活用してください。

OS の最低バージョン要件

• 要約:Splunk プラットフォーム 10.0 の検索ヘッド、インデクサー、ヘビーフォワーダー、管理ノードの OS の最低バージョンは以下のとおりです。

  OS ファミリー	FIPS なし	チップ付き 140-2	チップス 140-3 付き
  リナックス	レル 8 レル 9 Ubuntu 20.04 Ubuntu 22.04 Ubuntu 24.04 アマゾンリナックス 2023 ロッキー・リナックス/アルマリナックス 8 ロッキー・リナックス/アルマ・リナックス 9 セールス 15 SP6 Debian 11 デビアン 12 オラクル・リナックス 8 オラクル・リナックス 9	レル 8 レル 9 Ubuntu 20.04 Ubuntu 22.04 Ubuntu 24.04 アマゾンリナックス 2023 オラクル・リナックス 8 オラクル・リナックス 9	レル 9 Ubuntu 22.04 Ubuntu 24.04 アマゾンリナックス 2023 オラクル・リナックス 9
  ウィンドウズ	ウィンドウズサーバー 2019 ウィンドウズサーバー 2022 ウィンドウズサーバー 2025	ウィンドウズサーバー 2019 ウィンドウズサーバー 2022 ウィンドウズサーバー 2025	ウィンドウズサーバー 2022 ウィンドウズサーバー 2025
  OS X	(サポートされていません)	(サポートなし)	(サポートなし)

  すべてのユニバーサルフォワーダーの最小 OS バージョンは以下のとおりです。

  OS ファミリー	FIPS なし	チップ付き 140-2	チップス 140-3 付き
  リナックス	レル 8 レル 9 Ubuntu 20.04 Ubuntu 22.04 Ubuntu 24.04 アマゾンリナックス 2023 ロッキー・リナックス/アルマリナックス 8 ロッキー・リナックス/アルマ・リナックス 9 セールス 15 SP6 Debian 11 デビアン 12 オラクル・リナックス 8 オラクル・リナックス 9 Solaris 11.4 FreeBSD 1.3 FreeBSD 14 AIX 7.2 AIX 7.3	レル 8 レル 9 Ubuntu 20.04 Ubuntu 22.04 Ubuntu 24.04 アマゾンリナックス 2023	レル 9 Ubuntu 22.04 Ubuntu 24.04 アマゾンリナックス 2023
  ウィンドウズ	ウィンドウズサーバー 2019 ウィンドウズサーバー 2022 ウィンドウズサーバー 2025 ウィンドウズ 11	ウィンドウズサーバー 2019 ウィンドウズサーバー 2022 ウィンドウズサーバー 2025 ウィンドウズ 11	ウィンドウズサーバー 2022 ウィンドウズサーバー 2025 ウィンドウズ 11
  OS X	macOS 1.3 macOS 14 MacOS 1.5

• 影響を受けるお客様 : Splunk Enterprise または Splunk Cloud Platform にデータを送信するセルフマネージド型の転送階層を運用しているお客様。
• 問題の検出と軽減:
  • Splunk Enterpriseのお客様は、導入タイプと互換性のある OS バージョンで導入環境全体を実行する必要があります。
  • Splunk Cloud Platformのお客様は、セルフマネージド型の転送階層など、Splunk Cloud Platformの外部で実行されるSplunk導入のすべての部分が、前述の仕様を満たすOS上で実行されることを確認する必要があります。

Docker-Splunk EULA ユーザー同意書

• サマリー : ユーザが明示的に同意できるように、新しい必須パラメータが導入されています。 Splunk 一般規約 DockerHub の Docker-Splunk イメージを使用して Splunk Enterprise 10.0 を Docker コンテナとしてデプロイする場合のライセンス契約。
• 影響を受けるお客様 : Docker-Splunk 10.x および「最新の」タグ付きイメージから Splunk Enterprise をインストールしているお客様。
• 問題の検出と軽減 : 更新された EULA を確認し、既存の Docker-Splunk デプロイメントに関する条件に同意していることを確認します。デフォルトでは、新しい SPLUNK_GENERAL_TERMS 環境変数は空の文字列に設定されます。新規デプロイメントでは、使用する docker run コマンドまたは docker compose ファイルを更新してください。 SPLUNK_GENERAL_TERMS=--accept-sgt-current-at-splunk-com 。に関するドキュメンテーションと例 GitHub と ドッカーハブ これらの変更を反映するように更新されます。

Kubernetes 用スプランクオペレーター (SOK) EULA ユーザー同意書

• 要約: Splunk Enterprise 10.0 のサポートを含む SOK バージョン 3.0.0 以降、Docker オペレーティングシステム仮想化サービスのコンテナを起動するには、追加の Docker-Splunk 固有のパラメーターが必要になります。これは重大な変更であり、ユーザーアクションが必要です。この変更により、の確認メカニズムは必須となります。 Splunk の一般規約 (SGT)。
• 影響を受けるお客様: Kubernetes 用 Splunk Operator をバージョン 3.0.0 以降にアップグレードしたいお客様。
• 問題の検出と軽減: デフォルトでは、 SPLUNK_GENERAL_TERMS 環境変数は空の文字列に設定されます。値が設定されるようにするには、お客様が手動で更新する必要があります。 --accept-sgt-current-at-splunk-com で splunk-operator-controller-manager デプロイメント、または合格できます SPLUNK_GENERAL_TERMS 必要な値を含むパラメーター make deploy コマンド: make deploy IMG=docker.io/splunk/splunk-operator:<tag name> WATCH_NAMESPACE="namespace1" RELATED_IMAGE_SPLUNK_ENTERPRISE="splunk/splunk:edge" SPLUNK_GENERAL_TERMS="--accept-sgt-current-at-splunk-com" 

変更を適用するための詳細なドキュメントは、Kubernetes 3.0.0向けSplunk Operatorリリースで提供される予定です。

OpenSSL サポートのための MongoDB アップグレード

• サマリー : Splunkは、OpenSSL v3.0およびFIPS 140-3のコンプライアンス要件に合わせて、KVストアサービスのデータベースエンジンであるMongoDBをバージョン4.2から7.0にアップデートしています。
• 影響を受けるお客様 : MongoDB バージョン 4.2 を実行している FIPS 準拠バージョンの Splunk Enterprise を実行しているお客様。
• 問題の検出と軽減 : MongoDB バージョン 7.0 を実行するバージョンにアップグレードできない Splunk Enterprise のお客様は、FIPS への準拠を維持するために、引き続き FIPS 140-2 モードを使用する必要があります。Splunk Enterprise 10.0 リリースにアップグレードしたお客様は、FIPS 140-3 アップグレードガイドに従って MongoDB バージョン 7.0 に移行し、その後 FIPS 140-3 モードに移行することができます。