Splunk のトラブルシューティング - Amazon Data Firehose

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Splunk のトラブルシューティング

Splunk エンドポイントにデータが配信されない場合は、以下の点を確認してください。

  • Splunk プラットフォームが VPC にある場合は、必ず Firehose がアクセスできることを確認します。詳細については、「VPC の Splunk へのアクセス」を参照してください。

  • AWS ロードバランサーを使用する場合は、それが Classic Load Balancer または Application Load Balancer であることを確認します。また、Classic Load Balancer の Cookie の有効期限を無効にした状態で、期間ベースのスティッキーセッションを有効にし、Application Load Balancer の有効期限を最大値 (7 日間) に設定します。これを行う方法の詳細については、Classic Load Balancer または Application Load Balancer の「Duration-Based Session Stickiness」を参照してください。

  • Splunk プラットフォームの要件を確認します。Firehose 用の Splunk アドオンには、Splunk プラットフォームバージョン 6.6.X 以降が必要です。詳細については、「Splunk Add-on for Amazon Kinesis Firehose」を参照してください。

  • Firehose と HTTP Event Collector (HEC) ノードの間にプロキシ (Elastic Load Balancing など) がある場合は、スティッキーセッションを有効にして HEC 確認応答 (ACK) をサポートします。

  • 有効な HEC トークンを使用していることを確認します。

  • HEC トークンが有効であることを確認します。

  • Splunk に送信しているデータの形式が正しいかどうかを確認します。詳細については、「Format events for HTTP Event Collector」を参照してください。

  • 有効なインデックスを使用して HEC トークンと入力イベントが設定されていることを確認します。

  • HEC ノードのサーバーエラーのため Splunk へのアップロードが失敗すると、リクエストは自動的に再試行されます。すべての再試行が失敗すると、データは Amazon S3 にバックアップされます。データが Amazon S3 にあるかどうかを確認します。ある場合、そのような障害が発生したことを示します。

  • HEC トークンでインデクサの送達確認が有効であることを確認します。

  • Firehose ストリームの Splunk 宛先設定で、HECAcknowledgmentTimeoutInSeconds の値を増やします。

  • Firehose ストリームの Splunk 宛先設定で、RetryOptionsDurationInSeconds の値を増やします。

  • HEC のヘルスを確認します。

  • データ変換を使用している場合は、Lambda 関数が、6 MB を超えるペイロードサイズのレスポンスを返さないようにします。詳細については、「Amazon Data Firehose のデータ変換」を参照してください。

  • ackIdleCleanup と言う名前の Splunk パラメータが、true に設定されていることを確認します。これはデフォルトでは false です。このパラメータを true に設定するには、次のことを行います。

    • マネージド型の Splunk Cloud デプロイの場合は、Splunk サポートポータルを使用してケースを送信します。その場合は、HTTP イベントコレクターを有効にし、ackIdleCleanuptrueinputs.conf に設定して、このアドオンを使用するようにロードバランサーを作成または変更することを Splunk サポートに依頼します。

    • 分散された Splunk Enterprise デプロイの場合は、inputs.conf ファイルで ackIdleCleanup パラメータを true に設定します。*nix ユーザーの場合、このファイルは $SPLUNK_HOME/etc/apps/splunk_httpinput/local/ にあります。​ Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\ にあります。​

    • シングルインスタンスの Splunk Enterprise デプロイの場合は、inputs.conf ファイルで ackIdleCleanup パラメータを true に設定します。*nix ユーザーの場合、このファイルは $SPLUNK_HOME/etc/apps/splunk_httpinput/local/ にあります。​ Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\ にあります。​

  • Firehose ストリームで指定されている IAM ロールが、S3 バックアップバケットとデータ変換用の Lambda 関数 (データ変換が有効になっている場合) にアクセスできることを確認します。また、IAM ロールがエラーログをチェックするために、CloudWatch Logs グループとログストリームにアクセスできることを確認します。詳細については、「Grant Firehose Access to a Splunk Destination」を参照してください。

  • S3 エラーバケット (S3 バックアップ) に配信されたデータを Splunk にリドライブするには、Splunk ドキュメントに記載されているステップに従います。

  • 詳細については、Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose を参照してください。