Amazon Data Firehose era precedentemente noto come Amazon Kinesis Data Firehose
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi di Splunk
Controlla quanto segue se i dati non vengono distribuiti sull'endpoint Splunk.
-
Se la tua piattaforma Splunk è in un VPC, assicurati che Firehose possa accedervi. Per ulteriori informazioni, consulta Accesso a Splunk in un VPC.
-
Se utilizzi un AWS load balancer, assicurati che sia un Classic Load Balancer o un Application Load Balancer. Inoltre, abilita sessioni permanenti basate sulla durata con la scadenza dei cookie disabilitata per Classic Load Balancer e la scadenza è impostata al massimo (7 giorni) per Application Load Balancer. Per informazioni su come eseguire questa operazione, consulta Duration-Based Session Stickiness for Classic Load Balancer o un Application Load Balancer.
-
Riesaminare i requisiti della piattaforma Splunk. Il componente aggiuntivo Splunk per Firehose richiede la versione 6.6.X o successiva della piattaforma Splunk. Per ulteriori informazioni, consulta Estensione Splunk per Amazon Kinesis Firehose
. -
Se disponi di un proxy (Elastic Load Balancing o altro) tra Firehose e il nodo HTTP Event Collector (HEC), abilita le sessioni permanenti per supportare i riconoscimenti HEC (ACK).
-
Verificare che si stia utilizzando un token HEC valido.
-
Verificare che il token HEC sia abilitato. Consulta Abilitare e disabilitare i token Event Collector
. -
Controllare se i dati che si sta inviando a Splunk sono formattati correttamente. Per ulteriori informazioni, consulta Formattare eventi per HTTP Event Collector
. -
Verificare che il token HEC e l'evento di input siano configurati con un indice valido.
-
Quando un caricamento su Splunk non va a buon fine a causa di un errore del server dal nodo HEC, la richiesta viene automaticamente ripetuta. Se tutti i nuovi tentativi non riescono, viene eseguito il backup dei dati su Amazon S3. Controlla se i dati appaiono in Amazon S3, il che è un'indicazione di un errore di questo tipo.
-
Verificare di aver abilitato il riconoscimento dell'indicizzatore sul token HEC. Per ulteriori informazioni, consulta Abilita riconoscimento dell'indicizzatore
. -
Aumenta il valore della configurazione
HECAcknowledgmentTimeoutInSeconds
di destinazione Splunk del tuo stream Firehose. -
Aumenta il valore di
DurationInSeconds
underRetryOptions
nella configurazione di destinazione Splunk del tuo stream Firehose. -
Verificare lo stato di HEC.
-
Se utilizzi la trasformazione dei dati, verifica che la funzione Lambda non restituisca mai risposte con dimensioni del payload che superino i 6 MB. Per ulteriori informazioni, consulta Amazon Data FirehoseData Transformation.
-
Verificare che il parametro Splunk denominato
ackIdleCleanup
sia impostato sutrue
. Per impostazione predefinita, è impostato su false. Per impostare questo parametro sutrue
, procedi nel seguente modo:-
Per una distribuzione gestita Splunk Cloud
, inviare un caso tramite il portale di supporto Splunk. In questo caso, chiedere al supporto Splunk di abilitare HTTP event collector, di impostare ackIdleCleanup
sutrue
ininputs.conf
e di creare o modificare il sistema di bilanciamento del carico da utilizzare con questa estensione. -
Per una distribuzione Splunk Enterprise distribuita
, impostare il parametro ackIdleCleanup
su true nel fileinputs.conf
. Per gli utenti *nix, questo file si trova in$SPLUNK_HOME/etc/apps/splunk_httpinput/local/
. Per gli utenti Windows, si trova in%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\
. -
Per una distribuzione Splunk Enterprise a istanza singola
, impostare il parametro ackIdleCleanup
sutrue
nel fileinputs.conf
. Per gli utenti *nix, questo file si trova in$SPLUNK_HOME/etc/apps/splunk_httpinput/local/
. Per gli utenti Windows, si trova in%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\
.
-
Assicurati che il ruolo IAM specificato nel tuo stream Firehose possa accedere al bucket di backup S3 e alla funzione Lambda per la trasformazione dei dati (se la trasformazione dei dati è abilitata). Inoltre, assicurati che il ruolo IAM abbia accesso al gruppo CloudWatch Logs e ai flussi di log per controllare i log degli errori. Per maggiori informazioni, consulta Grant FirehoseAccess to a Splunk Destination.
-
Consulta Risoluzione dei problemi dell'estensione Splunk per Amazon Kinesis Firehose
.