Solución de problemas de Splunk - Amazon Data Firehose

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de Splunk

Realice las siguientes comprobaciones si los datos no se entregan a su punto de enlace de Splunk.

  • Si la plataforma Splunk está en una VPC, asegúrese de que Firehose tenga acceso a ella. Para obtener más información, consulte Acceso a Splunk en VPC.

  • Si utilizas un balanceador de AWS cargas, asegúrate de que sea un Classic Load Balancer o un Application Load Balancer. Además, habilite las sesiones persistentes basadas en la duración con la caducidad de las cookies deshabilitada para el equilibrador de carga clásico y la caducidad establecida en el máximo (7 días) para el equilibrador de carga de aplicación. Para obtener información sobre cómo hacerlo, consulte Persistencia de la sesión basada en la duración para el equilibrador de carga clásico o el equilibrador de carga de aplicación.

  • Revise los requisitos de la plataforma Splunk. El complemento de Splunk para Firehose requiere la versión 6.6.X o posterior de la plataforma Splunk. Para obtener más información, consulte Splunk Add-on for Amazon Kinesis Firehose.

  • Si tiene un proxy (Elastic Load Balancing u otro) entre Firehose y el nodo HTTP Event Collector (HEC), habilite las sesiones fijas para admitir los reconocimientos de HEC (). ACKs

  • Asegúrese de utilizar un token de HEC válido.

  • Asegúrese de que el token de HEC esté habilitado.

  • Compruebe que los datos que está enviando a Splunk tienen el formato correcto. Para obtener más información, consulte Format events for HTTP Event Collector.

  • Asegúrese de que el token de HEC y el evento de entrada estén configurados con un índice válido.

  • Cuando una carga en Splunk falla debido a un error del servidor desde el nodo del HEC, la solicitud vuelve a enviarse automáticamente. Si fallan todos los reintentos, se crea una copia de seguridad de los datos en Amazon S3. Compruebe si los datos aparecen en Amazon S3; esa es una indicación de este tipo de error.

  • Asegúrese de que ha activado la confirmación de indexadores en el token de HEC.

  • Aumente el valor de HECAcknowledgmentTimeoutInSeconds en la configuración de destino de Splunk de su flujo de Firehose.

  • Aumente el valor de DurationInSeconds en RetryOptions en la configuración de destino de Splunk de su flujo de Firehose.

  • Compruebe el estado del HEC.

  • Si usa la transformación de datos, asegúrese de que la función de Lambda nunca devuelva respuestas cuyo tamaño de carga sea superior a 6 MB. Para obtener más información, consulte Amazon Data Firehose Data Transformation.

  • Asegúrese de que el parámetro Splunk denominado ackIdleCleanup se establece en true. Su valor predeterminado es false. Para establecer este parámetro en true, haga lo siguiente:

    • Para una implementación de Splunk Cloud administrada, envíe un caso utilizando el portal de soporte de Splunk. En este caso, pida al soporte de Splunk que habilite el recopilador de eventos HTTP, establezca ackIdleCleanup en true en inputs.conf y cree o modifique un balanceador de carga para usarlo con este complemento.

    • Para efectuar una implementación distribuida de Splunk Enterprise, establezca el parámetro ackIdleCleanup en true en el archivo inputs.conf. Para los usuarios de *nix, este archivo se encuentra en $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para los usuarios de Windows, se encuentra en %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Para efectuar una implementación de una sola instancia de Splunk Enterprise, establezca el parámetro ackIdleCleanup en true en el archivo inputs.conf. Para los usuarios de *nix, este archivo se encuentra en $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para los usuarios de Windows, se encuentra en %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Asegúrese de que el rol de IAM especificado en su flujo de Firehose tenga acceso al bucket de copias de seguridad de S3 y a la función de Lambda para la transformación de datos (si esta está habilitada). Además, asegúrese de que el rol de IAM tenga acceso al grupo de CloudWatch registros y a los flujos de registros para comprobar los registros de errores. Para obtener más información, consulte Concesión FirehoseAccess a un destino de Splunk.

  • Para volver a enviar a Splunk los datos que se enviaron al bucket de errores de S3 (copia de seguridad de S3), siga los pasos que se mencionan en la documentación de Splunk.

  • Consulte Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose.