Pemecahan Masalah Splunk

Periksa yang berikut ini jika data tidak terkirim ke titik akhir Splunk Anda.

• Jika platform Splunk Anda ada di VPC, pastikan Firehose dapat mengaksesnya. Untuk informasi selengkapnya, lihat Akses ke Splunk di VPC.

• Jika Anda menggunakan AWS load balancer, pastikan bahwa itu adalah Classic Load Balancer atau Application Load Balancer. Selain itu, aktifkan sesi lengket berbasis durasi dengan kedaluwarsa cookie dinonaktifkan untuk Classic Load Balancer dan kedaluwarsa diatur ke maksimum (7 hari) untuk Application Load Balancer. Untuk informasi tentang cara melakukannya, lihat Kelengketan Sesi Berbasis Durasi untuk Classic Load Balancer atau Application Load Balancer.

• Tinjau persyaratan platform Splunk. Add-on Splunk untuk Firehose memerlukan platform Splunk versi 6.6.X atau yang lebih baru. Untuk informasi selengkapnya, lihat Pengaya Spllunk untuk Amazon Kinesis Firehose.

• Jika Anda memiliki proxy (Elastic Load Balancing atau lainnya) antara Firehose dan node HTTP Event Collector (HEC), aktifkan sesi lengket untuk mendukung pengakuan HEC (ACK).

• Pastikan Anda menggunakan token HEC yang valid.

• Pastikan token HEC diaktifkan. Lihat Aktifkan dan nonaktifkan token Event Collector.

• Periksa apakah data yang Anda kirim ke Splunk diformat dengan benar. Untuk informasi selengkapnya, lihat Format peristiwa untuk HTTP Event Collector.

• Pastikan token HEC dan peristiwa input dikonfigurasi dengan indeks yang valid.

• Ketika pengunggahan ke Splunk gagal karena kesalahan server dari simpul HEC, permintaan secara otomatis dicoba lagi. Jika semua percobaan ulang gagal, data akan dicadangkan ke Amazon S3. Periksa apakah data Anda muncul di Amazon S3, yang merupakan indikasi kegagalan tersebut.

• Pastikan Anda mengaktifkan pengakuan pengindeks pada token HEC Anda. Untuk info selengkapnya, lihat Aktifkan pengakuan pengindeks.

• Tingkatkan nilai HECAcknowledgmentTimeoutInSeconds dalam konfigurasi tujuan Splunk aliran Firehose Anda.

• Tingkatkan nilai DurationInSeconds under RetryOptions dalam konfigurasi tujuan Splunk aliran Firehose Anda.

• Periksa kondisi HEC Anda.

• Jika Anda menggunakan transformasi data, pastikan fungsi Lambda Anda tidak pernah mengembalikan respons yang ukuran muatannya melebihi 6 MB. Untuk informasi selengkapnya, lihat FirehoseData Transformasi Data Amazon.

• Pastikan parameter Splunk yang bernama ackIdleCleanup diatur ke true. Nilainya secara default salah. Untuk mengatur parameter ini ke true, lakukan hal berikut:

  • Untuk deployment Splunk Cloud terkelola, kirimkan kasus menggunakan portal dukungan Splunk. Dalam hal ini, mintalah dukungan Splunk untuk mengaktifkan HTTP event collector, atur ackIdleCleanup ke true dalam inputs.conf, dan buat atau ubah penyeimbang beban untuk digunakan dengan pengaya ini.

  • Untuk deployment Splunk Enterprise terdistribusi, atur parameter ackIdleCleanup ke nilai benar dalam file inputs.conf. Untuk pengguna *nix, file ini terletak di $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Untuk pengguna Windows, file ini berada di %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Untuk deployment Splunk Enterprise instans tunggal, atur parameter ackIdleCleanup ke nilai true dalam file inputs.conf. Untuk pengguna *nix, file ini terletak di $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Untuk pengguna Windows, file ini berada di %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

• Pastikan bahwa peran IAM yang ditentukan dalam aliran Firehose Anda dapat mengakses bucket cadangan S3 dan fungsi Lambda untuk transformasi data (jika transformasi data diaktifkan). Juga, pastikan bahwa peran IAM memiliki akses ke grup CloudWatch Log dan aliran log untuk memeriksa log kesalahan. Untuk informasi selengkapnya, lihat Grant FirehoseAccess to a Splunk Destination.

• Lihat Memecahkan Masalah Pengaya Splunk untuk Amazon Kinesis Firehose.