Risoluzione dei problemi di Splunk - Amazon Data Firehose

Amazon Data Firehose era precedentemente noto come Amazon Kinesis Data Firehose

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di Splunk

Controlla quanto segue se i dati non vengono distribuiti sull'endpoint Splunk.

  • Se la tua piattaforma Splunk è in un VPC, assicurati che Firehose possa accedervi. Per ulteriori informazioni, consulta Accesso a Splunk in un VPC.

  • Se utilizzi un AWS load balancer, assicurati che sia un Classic Load Balancer o un Application Load Balancer. Inoltre, abilita sessioni permanenti basate sulla durata con la scadenza dei cookie disabilitata per Classic Load Balancer e la scadenza è impostata al massimo (7 giorni) per Application Load Balancer. Per informazioni su come eseguire questa operazione, consulta Duration-Based Session Stickiness for Classic Load Balancer o un Application Load Balancer.

  • Riesaminare i requisiti della piattaforma Splunk. Il componente aggiuntivo Splunk per Firehose richiede la versione 6.6.X o successiva della piattaforma Splunk. Per ulteriori informazioni, consulta Estensione Splunk per Amazon Kinesis Firehose.

  • Se disponi di un proxy (Elastic Load Balancing o altro) tra Firehose e il nodo HTTP Event Collector (HEC), abilita le sessioni permanenti per supportare i riconoscimenti HEC (ACK).

  • Verificare che si stia utilizzando un token HEC valido.

  • Verificare che il token HEC sia abilitato. Consulta Abilitare e disabilitare i token Event Collector.

  • Controllare se i dati che si sta inviando a Splunk sono formattati correttamente. Per ulteriori informazioni, consulta Formattare eventi per HTTP Event Collector.

  • Verificare che il token HEC e l'evento di input siano configurati con un indice valido.

  • Quando un caricamento su Splunk non va a buon fine a causa di un errore del server dal nodo HEC, la richiesta viene automaticamente ripetuta. Se tutti i nuovi tentativi non riescono, viene eseguito il backup dei dati su Amazon S3. Controlla se i dati appaiono in Amazon S3, il che è un'indicazione di un errore di questo tipo.

  • Verificare di aver abilitato il riconoscimento dell'indicizzatore sul token HEC. Per ulteriori informazioni, consulta Abilita riconoscimento dell'indicizzatore.

  • Aumenta il valore della configurazione HECAcknowledgmentTimeoutInSeconds di destinazione Splunk del tuo stream Firehose.

  • Aumenta il valore di DurationInSeconds under RetryOptions nella configurazione di destinazione Splunk del tuo stream Firehose.

  • Verificare lo stato di HEC.

  • Se utilizzi la trasformazione dei dati, verifica che la funzione Lambda non restituisca mai risposte con dimensioni del payload che superino i 6 MB. Per ulteriori informazioni, consulta Amazon Data FirehoseData Transformation.

  • Verificare che il parametro Splunk denominato ackIdleCleanup sia impostato su true. Per impostazione predefinita, è impostato su false. Per impostare questo parametro su true, procedi nel seguente modo:

    • Per una distribuzione gestita Splunk Cloud, inviare un caso tramite il portale di supporto Splunk. In questo caso, chiedere al supporto Splunk di abilitare HTTP event collector, di impostare ackIdleCleanup su true in inputs.conf e di creare o modificare il sistema di bilanciamento del carico da utilizzare con questa estensione.

    • Per una distribuzione Splunk Enterprise distribuita, impostare il parametro ackIdleCleanup su true nel file inputs.conf. Per gli utenti *nix, questo file si trova in $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Per gli utenti Windows, si trova in %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Per una distribuzione Splunk Enterprise a istanza singola, impostare il parametro ackIdleCleanup su true nel file inputs.conf. Per gli utenti *nix, questo file si trova in $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Per gli utenti Windows, si trova in %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Assicurati che il ruolo IAM specificato nel tuo stream Firehose possa accedere al bucket di backup S3 e alla funzione Lambda per la trasformazione dei dati (se la trasformazione dei dati è abilitata). Inoltre, assicurati che il ruolo IAM abbia accesso al gruppo CloudWatch Logs e ai flussi di log per controllare i log degli errori. Per maggiori informazioni, consulta Grant FirehoseAccess to a Splunk Destination.

  • Consulta Risoluzione dei problemi dell'estensione Splunk per Amazon Kinesis Firehose.