翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Splunk のトラブルシューティング
Splunk エンドポイントにデータが配信されない場合は、以下の点を確認してください。
-
Splunk プラットフォームが VPC にある場合は、必ず Firehose がアクセスできることを確認します。詳細については、「VPC の Splunk へのアクセス」を参照してください。
-
AWS ロードバランサーを使用する場合は、それが Classic Load Balancer または Application Load Balancer であることを確認します。また、Classic Load Balancer の Cookie の有効期限を無効にした状態で、期間ベースのスティッキーセッションを有効にし、Application Load Balancer の有効期限を最大値 (7 日間) に設定します。これを行う方法の詳細については、Classic Load Balancer または Application Load Balancer の「Duration-Based Session Stickiness」を参照してください。
-
Splunk プラットフォームの要件を確認します。Firehose 用の Splunk アドオンには、Splunk プラットフォームバージョン 6.6.X 以降が必要です。詳細については、「Splunk Add-on for Amazon Kinesis Firehose
」を参照してください。 -
Firehose と HTTP Event Collector (HEC) ノードの間にプロキシ (Elastic Load Balancing など) がある場合は、スティッキーセッションを有効にして HEC 確認応答 (ACK) をサポートします。
-
有効な HEC トークンを使用していることを確認します。
-
HEC トークンが有効であることを確認します。
-
Splunk に送信しているデータの形式が正しいかどうかを確認します。詳細については、「Format events for HTTP Event Collector
」を参照してください。 -
有効なインデックスを使用して HEC トークンと入力イベントが設定されていることを確認します。
-
HEC ノードのサーバーエラーのため Splunk へのアップロードが失敗すると、リクエストは自動的に再試行されます。すべての再試行が失敗すると、データは Amazon S3 にバックアップされます。データが Amazon S3 にあるかどうかを確認します。ある場合、そのような障害が発生したことを示します。
-
HEC トークンでインデクサの送達確認が有効であることを確認します。
-
Firehose ストリームの Splunk 宛先設定で、
HECAcknowledgmentTimeoutInSeconds
の値を増やします。 -
Firehose ストリームの Splunk 宛先設定で、
RetryOptions
のDurationInSeconds
の値を増やします。 -
HEC のヘルスを確認します。
-
データ変換を使用している場合は、Lambda 関数が、6 MB を超えるペイロードサイズのレスポンスを返さないようにします。詳細については、「Amazon Data Firehose のデータ変換」を参照してください。
-
ackIdleCleanup
と言う名前の Splunk パラメータが、true
に設定されていることを確認します。これはデフォルトでは false です。このパラメータをtrue
に設定するには、次のことを行います。-
マネージド型の Splunk Cloud デプロイ
の場合は、Splunk サポートポータルを使用してケースを送信します。その場合は、HTTP イベントコレクターを有効にし、 ackIdleCleanup
でtrue
をinputs.conf
に設定して、このアドオンを使用するようにロードバランサーを作成または変更することを Splunk サポートに依頼します。 -
分散された Splunk Enterprise デプロイ
の場合は、 inputs.conf
ファイルでackIdleCleanup
パラメータを true に設定します。*nix ユーザーの場合、このファイルは$SPLUNK_HOME/etc/apps/splunk_httpinput/local/
にあります。 Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\
にあります。 -
シングルインスタンスの Splunk Enterprise デプロイ
の場合は、 inputs.conf
ファイルでackIdleCleanup
パラメータをtrue
に設定します。*nix ユーザーの場合、このファイルは$SPLUNK_HOME/etc/apps/splunk_httpinput/local/
にあります。 Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\
にあります。
-
Firehose ストリームで指定されている IAM ロールが、S3 バックアップバケットとデータ変換用の Lambda 関数 (データ変換が有効になっている場合) にアクセスできることを確認します。また、IAM ロールがエラーログをチェックするために、CloudWatch Logs グループとログストリームにアクセスできることを確認します。詳細については、「Grant Firehose Access to a Splunk Destination」を参照してください。
-
S3 エラーバケット (S3 バックアップ) に配信されたデータを Splunk にリドライブするには、Splunk ドキュメント
に記載されているステップに従います。 -
詳細については、Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose
を参照してください。