Error 1603 al instalar Splunk Universal Forwarder

Hoy estuve desplegando una nueva versión del Universal Forwarder a través de SCCM y en algunos clientes estuvo fallando sin razón aparente. Al intentar instalar manualmente también fallaba sin dar detalles de por qué.

Después de activar los logs en modo verbose del instalador de Windows (parámetro /l*v) y no encontrar nada, decidí intentar la instalación de una versión intermedia entre la que estaba instalada y la que quería actualizar. Ahí encontre la pista que necesitaba, el instalador fallaba indicando que la versión que estaba intentando instalar era anterior a la que ya estaba instalada.

Sin embargo, cuando fui a agregar y quitar programas vi que la versión que aparecía era la antigua, lo que me llevo a pensar de que se trataba de algún tipo de corrupción en la base de datos de Windows Installer.

Efectivamente, cuando abrí el registro y fui a la clave correspondiente a la versión que estaba intentando instalar ahí estaba ya registrada.

error windows installer

Para solucionarlo hice lo siguiente:

  • Backup del registro
  • Detuve el servicio de Windows Installer
  • Eliminé la clave completa de {9C30ADEC-5D48-4600-A990-01B78AABF33C}
  • Inicié el servicio de Windows Installer
  • Ejecute el instalador nuevamente

Una vez hecho esto la instalación se hizo sin problemas.

Supongo que esta solución es aplicable para otros instaladores que fallen de la misma forma.

Universal Forwarder no envía logs al servidor de Splunk

Hoy estuve mas tiempo del que quería instalando el Forwarder de Splunk en un nuevo servidor. Aparentemente, en algún momento entre la versión 6.1 y 6.2.1 cambiaron las configuraciones por defecto.

Al ejecutar netstat el cliente aparecía conectado al servidor, sin embargo, no se estaban recibiendo los logs de [WinEventLog://Security].

El culpable es el inputs.conf de %ProgramFiles%\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\ que ahora viene con el parámetro index = wineventlog por defecto.

Para solucionarlo solo hay que poner en %ProgramFiles%\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf, debajo de [WinEventLog://Security] el parametro index = main (o el nombre de tu índice) y reiniciar el servicio SplunkForwarder