1: 背景：

最近升级Splunk ES, 发现了很多问题，记录一下：

有个很妖的就是有些ES 下面的report / alert 不能删除了。

下面想了一下升级的过程，有些地方的细节，找到原因。

1: 先想一下，是什么对升级产生关键作用：

去发布的机器上面：有这个文件：

/opt/splunk/etc/shcluster/apps/SplunkEnterpriseSecuritySuite/

下面有个local:

[root@abc local]# ls -lrt
total 8
-rw------- 1 splunk splunk 43 Sep 13 03:36 ess_setup.conf
-rw------- 1 splunk splunk 28 Sep 13 03:36 app.conf
[root@abc local]# cat app.conf
[install]
is_configured = 1
[root@abc local]# cat ess_setup.conf
[install]
configured_version = 7.1.1-48130

看上面两个文件很关键，这两个文件向seach head 派发的时候，是会发生作用的，那么问题来了，这两个文件，派发后，会去哪里呢？

仔细检查了一下：