Fehlerbehebung bei Splunk - Amazon Data Firehose

Amazon Data Firehose war zuvor als Amazon Kinesis Data Firehose bekannt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei Splunk

Prüfen Sie die folgenden Punkte, wenn die Daten nicht an Ihren Splunk endpoint übergeben wurden.

  • Wenn sich Ihre Splunk-Plattform in einer VPC befindet, stellen Sie sicher, dass Firehose darauf zugreifen kann. Weitere Informationen finden Sie unter Zugriff auf Splunk in einer VPC.

  • Wenn Sie einen Load AWS Balancer verwenden, stellen Sie sicher, dass es sich um einen Classic Load Balancer oder einen Application Load Balancer handelt. Aktivieren Sie außerdem dauerbasierte Sticky-Sitzungen mit deaktiviertem Cookie-Ablauf für Classic Load Balancer und mit maximaler Ablaufzeit (7 Tage) für Application Load Balancer. Informationen dazu finden Sie unter Duration-Based Session Stickiness für Classic Load Balancer oder einen Application Load Balancer.

  • Überprüfen Sie die Splunk-Plattformanforderungen. Das Splunk-Add-on für Firehose erfordert Splunk-Plattformversion 6.6.X oder höher. Weitere Informationen finden Sie unter Splunk-Add-On für Amazon Kinesis Firehose.

  • Wenn Sie einen Proxy (Elastic Load Balancing oder ein anderer) zwischen Firehose und dem HTTP Event Collector (HEC) -Knoten haben, aktivieren Sie Sticky Sessions, um HEC-Bestätigungen (ACKs) zu unterstützen.

  • Stellen Sie sicher, dass Sie ein gültiges HEC-Token verwenden.

  • Stellen Sie sicher, dass der HEC-Token aktiviert ist. Weitere Informationen finden Sie unter Aktivieren und deaktivieren der Ereigniserfassung-Tokens.

  • Überprüfen Sie, ob die Daten, die Sie an Splunk senden, ordnungsgemäß formatiert sind. Weitere Informationen finden Sie unter Formatieren von Ereignissen für HTTP-Ereigniserfassung.

  • Stellen Sie sicher, dass der HEC-Token und das Eingabeereignis mit einem gültigen Index konfiguriert sind.

  • Wenn ein Upload an Splunk aufgrund eines Server-Fehlers im HEC-Knoten fehlschlägt, wird die Anforderung automatisch wiederholt. Wenn alle Wiederholungen fehlschlagen, werden die Daten in Amazon S3 gesichert. Überprüfen Sie, ob Ihre Daten in Amazon S3 angezeigt werden, was auf eine solche Fehlfunktion hinweist.

  • Stellen Sie sicher, dass die Indexbestätigung auf Ihrem HEC-Token aktiviert ist. Weitere Informationen finden Sie unter Aktivieren der Indexbestätigung.

  • Erhöhen Sie den Wert von HECAcknowledgmentTimeoutInSeconds in der Splunk-Zielkonfiguration Ihres Firehose-Streams.

  • Erhöhen Sie den Wert von DurationInSeconds under RetryOptions in der Splunk-Zielkonfiguration Ihres Firehose-Streams.

  • Überprüfen Sie Ihre HEC-Lizenzen.

  • Wenn Sie die Datentransformation verwenden, stellen Sie sicher, dass Ihre Lambda-Funktion keine Antworten zurückgibt, deren Nutzlast 6 MB überschreitet. Weitere Informationen finden Sie unter Amazon Data FirehoseData Transformation.

  • Stellen Sie sicher, dass der Splunk-Parameter namens ackIdleCleanup auf true festgelegt ist. Standardmäßig lautet er "false". Um diesen Parameter auf true festzulegen, gehen Sie wie folgt vor:

    • Senden Sie eine Anfrage für eine verwaltete Splunk Cloud-Bereitstellung über das Splunk-Support-Portal. Bitten Sie den Splunk-Support in diesem Fall, die HTTP-Ereigniserfassung zu aktivieren, ackIdleCleanup in inputs.conf auf true festzulegen und einen Load Balancer, der mit diesem Add-On verwendet wird, zu erstellen oder zu ändern.

    • Für eine verteilte Splunk-Enterprise-Bereitstellung legen Sie für den Parameter ackIdleCleanup in der Datei inputs.conf den Wert „true“ fest. Für *nix-Benutzer befindet sich die Datei unter $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Für Windows-Benutzer befindet sie sich unter %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Für eine Single-Instance-Splunk-Enterprise-Bereitstellung legen Sie für den Parameter ackIdleCleanup in der Datei inputs.conf den Wert „true“ fest. Für *nix-Benutzer befindet sich die Datei unter $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Für Windows-Benutzer befindet sie sich unter %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Stellen Sie sicher, dass die in Ihrem Firehose-Stream angegebene IAM-Rolle auf den S3-Backup-Bucket und die Lambda-Funktion für die Datentransformation zugreifen kann (sofern die Datentransformation aktiviert ist). Stellen Sie außerdem sicher, dass die IAM-Rolle Zugriff auf die Protokollgruppe und die Protokollstreams hat, um CloudWatch Fehlerprotokolle zu überprüfen. Weitere Informationen finden Sie unter Grant FirehoseAccess to a Splunk Destination.

  • Weitere Informationen finden Sie unter Fehlersuche für das Splunk Add-on für Amazon Kinesis Firehose.