Dépannage de Splunk - Amazon Data Firehose

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Dépannage de Splunk

Lisez les explications suivantes si les données ne sont pas transmises à votre point de terminaison Splunk.

  • Si votre plateforme Splunk se trouve dans un VPC, assurez-vous que Firehose peut y accéder. Pour de plus amples informations, veuillez consulter Accès à Splunk en VPC.

  • Si vous utilisez un équilibreur de AWS charge, assurez-vous qu'il s'agit d'un Classic Load Balancer ou d'un Application Load Balancer. Activez également les sessions persistantes basées sur la durée avec l'expiration des cookies désactivée pour Classic Load Balancer et l'expiration fixée au maximum (7 jours) pour Application Load Balancer. Pour plus d'informations sur la procédure à suivre, consultez la section Stickiness de session basée sur la durée pour un Classic Load Balancer ou un Application Load Balancer.

  • Passez en revue les exigences de la plate-forme Splunk. Le module complémentaire Splunk pour Firehose nécessite la version 6.6.X ou ultérieure de la plateforme Splunk. Pour plus d'informations, consultez Module complémentaire Splunk pour Amazon Kinesis Firehose.

  • Si vous disposez d'un proxy (Elastic Load Balancing ou autre) entre Firehose et le nœud HTTP Event Collector (HEC), activez les sessions persistantes pour prendre en charge les accusés de réception HEC (). ACKs

  • Vérifiez que vous utilisez bien un jeton HEC valide.

  • Assurez-vous que le jeton HEC est activé.

  • Vérifiez si les données que vous envoyez à Splunk sont correctement formatées. Pour plus d'informations, consultez Format des événements pour HTTP Event Collector.

  • Assurez-vous que le jeton HEC et l'événement d'entrée sont configurés avec un index valide.

  • Si un chargement sur Splunk échoue en raison d'une erreur de serveur sur le nœud HEC, la demande fait automatiquement l'objet d'une nouvelle tentative. Si toutes les tentatives échouent, les données sont sauvegardées sur Amazon S3. Vérifiez si vos données figurent dans Amazon S3, ce qui indiquerait un échec de ce type.

  • Vérifiez que vous avez bien activé l'accusé de réception indexeur sur votre jeton HEC.

  • Augmentez la valeur de HECAcknowledgmentTimeoutInSeconds dans la configuration de destination Splunk de votre stream Firehose.

  • Augmentez la valeur de DurationInSeconds under RetryOptions dans la configuration de destination Splunk de votre stream Firehose.

  • Vérifiez l'état de votre HEC.

  • Si vous utilisez la transformation de données, assurez-vous que votre fonction Lambda ne renvoie jamais les réponses dont la taille de charge utile dépasse 6 Mo. Pour plus d'informations, consultez Amazon Data Firehose Data Transformation.

  • Assurez-vous que le paramètre Splunk nommé ackIdleCleanup est défini sur true. Il est défini sur false par défaut. Pour définir ce paramètre sur true, procédez comme suit :

    • Pour un déploiement Splunk Cloud géré, soumettez une demande à l'aide du portail de support Splunk. Dans ce cas, demandez au support de Splunk d'activer le collecteur d'événements HTTP, définissez ackIdleCleanup sur true dans inputs.conf, et créez ou modifiez un équilibreur de charge à utiliser avec ce module complémentaire.

    • Pour un déploiement Splunk Enterprise distribué, définissez le paramètre ackIdleCleanup sur true dans le fichier inputs.conf. Pour les utilisateurs *nix, ce fichier se trouve sous $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Pour les utilisateurs Windows, il est sous %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Pour un déploiement Splunk Enterprise à instance unique, définissez le paramètre ackIdleCleanup sur true dans le fichier inputs.conf. Pour les utilisateurs *nix, ce fichier se trouve sous $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Pour les utilisateurs Windows, il est sous %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Assurez-vous que le rôle IAM spécifié dans votre flux Firehose peut accéder au compartiment de sauvegarde S3 et à la fonction Lambda pour la transformation des données (si la transformation des données est activée). Assurez-vous également que le rôle IAM a accès au groupe CloudWatch Logs et aux flux de journaux pour vérifier les journaux d'erreurs. Pour plus d'informations, consultez la section Subvention FirehoseAccess à une destination Splunk.

  • Pour rediriger les données qui ont été envoyées vers le compartiment d'erreur S3 (sauvegarde S3) vers Splunk, suivez les étapes mentionnées dans la documentation Splunk.

  • Consultez Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose.