Dépannage de Splunk - Amazon Data Firehose

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Dépannage de Splunk

Lisez les explications suivantes si les données ne sont pas transmises à votre point de terminaison Splunk.

  • Si votre plateforme Splunk se trouve dans unVPC, assurez-vous que Firehose peut y accéder. Pour plus d'informations, consultez la section Accès à Splunk dans VPC.

  • Si vous utilisez un équilibreur de AWS charge, assurez-vous qu'il s'agit d'un Classic Load Balancer ou d'un Application Load Balancer. Activez également les sessions persistantes basées sur la durée avec l'expiration des cookies désactivée pour Classic Load Balancer et l'expiration fixée au maximum (7 jours) pour Application Load Balancer. Pour plus d'informations sur la procédure à suivre, consultez la section Stickiness de session basée sur la durée pour un Classic Load Balancer ou un Application Load Balancer.

  • Passez en revue les exigences de la plate-forme Splunk. Le module complémentaire Splunk pour Firehose nécessite la version 6.6.X ou ultérieure de la plateforme Splunk. Pour plus d'informations, consultez Module complémentaire Splunk pour Amazon Kinesis Firehose.

  • Si vous disposez d'un proxy (Elastic Load Balancing ou autre) entre Firehose et le nœud HTTP Event Collector (HEC), activez les sessions persistantes pour prendre en charge les accusés de HEC réception (). ACKs

  • Assurez-vous que vous utilisez un HEC jeton valide.

  • Assurez-vous que le HEC jeton est activé.

  • Vérifiez si les données que vous envoyez à Splunk sont correctement formatées. Pour plus d'informations, voir Formater les événements pour HTTP Event Collector.

  • Assurez-vous que le HEC jeton et l'événement d'entrée sont configurés avec un index valide.

  • Lorsqu'un téléchargement vers Splunk échoue en raison d'une erreur du serveur provenant du HEC nœud, la demande est automatiquement réessayée. Si toutes les tentatives échouent, les données sont sauvegardées sur Amazon S3. Vérifiez si vos données figurent dans Amazon S3, ce qui indiquerait un échec de ce type.

  • Assurez-vous d'avoir activé l'accusé de réception de l'indexeur sur votre jeton. HEC

  • Augmentez la valeur de HECAcknowledgmentTimeoutInSeconds dans la configuration de destination Splunk de votre stream Firehose.

  • Augmentez la valeur de DurationInSeconds under RetryOptions dans la configuration de destination Splunk de votre stream Firehose.

  • Vérifiez votre HEC état de santé.

  • Si vous utilisez la transformation de données, assurez-vous que votre fonction Lambda ne renvoie jamais les réponses dont la taille de charge utile dépasse 6 Mo. Pour plus d'informations, consultez Amazon Data FirehoseData Transformation.

  • Assurez-vous que le paramètre Splunk nommé ackIdleCleanup est défini sur true. Il est défini sur false par défaut. Pour définir ce paramètre sur true, procédez comme suit :

    • Pour un déploiement Splunk Cloud géré, soumettez une demande à l'aide du portail de support Splunk. Dans ce cas, demandez à l'assistance de Splunk d'activer le collecteur d'HTTPévénements, de le configurer sur ackIdleCleanup true ininputs.conf, et de créer ou de modifier un équilibreur de charge à utiliser avec ce module complémentaire.

    • Pour un déploiement Splunk Enterprise distribué, définissez le paramètre ackIdleCleanup sur true dans le fichier inputs.conf. Pour les utilisateurs *nix, ce fichier se trouve sous $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Pour les utilisateurs Windows, il est sous %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Pour un déploiement Splunk Enterprise à instance unique, définissez le paramètre ackIdleCleanup sur true dans le fichier inputs.conf. Pour les utilisateurs *nix, ce fichier se trouve sous $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Pour les utilisateurs Windows, il est sous %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Assurez-vous que le IAM rôle spécifié dans votre flux Firehose peut accéder au bucket de sauvegarde S3 et à la fonction Lambda pour la transformation des données (si la transformation des données est activée). Assurez-vous également que le IAM rôle a accès au groupe CloudWatch Logs et aux flux de journaux pour consulter les journaux d'erreurs. Pour plus d'informations, consultez la section Subvention FirehoseAccess à une destination Splunk.

  • Pour rediriger les données qui ont été envoyées vers le compartiment d'erreur S3 (sauvegarde S3) vers Splunk, suivez les étapes mentionnées dans la documentation Splunk.

  • Consultez Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose.