Splunk のトラブルシューティング - Amazon Data Firehose

Amazon Data Firehose は、以前は Amazon Kinesis Data Firehose と呼ばれていました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Splunk のトラブルシューティング

Splunk エンドポイントにデータが配信されない場合は、以下の点を確認してください。

  • Splunk プラットフォームが VPC 内にある場合は、Firehose がそれにアクセスできることを確認してください。詳細については、「VPC の Splunk へのアクセス」を参照してください。

  • AWS ロードバランサーを使用する場合は、それが Classic Load Balancer または Application Load Balancer であることを確認します。また、Classic Load Balancer で Cookie の有効期限が無効になっている期間ベースのスティッキーセッションを有効にし、有効期限は Application Load Balancer の最大 (7 日間) に設定されます。これを行う方法については、「Classic Load Balancer または Application Load Balancer の所要時間ベースのセッション維持」を参照してください。

  • Splunk プラットフォームの要件を確認します。Firehose 用の Splunk アドオンには、Splunk プラットフォームバージョン 6.6.X 以降が必要です。詳細については、「Splunk Add-on for Amazon Kinesis Firehose」を参照してください。

  • Firehose と HTTP Event Collector (HEC) ノードの間にプロキシ (Elastic Load Balancing またはその他の) がある場合は、スティッキーセッションを有効にして HEC 確認応答 (ACKsをサポートします。

  • 有効な HEC トークンを使用していることを確認します。

  • HEC トークンが有効であることを確認します。Enable and disable Event Collector tokens を参照してください。

  • Splunk に送信しているデータの形式が正しいかどうかを確認します。詳細については、「Format events for HTTP Event Collector」を参照してください。

  • 有効なインデックスを使用して HEC トークンと入力イベントが設定されていることを確認します。

  • HEC ノードのサーバーエラーのため Splunk へのアップロードが失敗すると、リクエストは自動的に再試行されます。すべての再試行が失敗すると、データは Amazon S3 にバックアップされます。データが Amazon S3 にあるかどうかを確認します。ある場合、そのような障害が発生したことを示します。

  • HEC トークンでインデクサの送達確認が有効であることを確認します。詳細については、「Enable indexer acknowledgement」を参照してください。

  • Firehose ストリームの HECAcknowledgmentTimeoutInSeconds Splunk 送信先設定で の値を増やします。

  • Firehose ストリームの Splunk 送信先設定DurationInSecondsRetryOptionsで、 の下の の値を増やします。

  • HEC のヘルスを確認します。

  • データ変換を使用している場合は、Lambda 関数が、6 MB を超えるペイロードサイズのレスポンスを返さないようにします。詳細については、「Amazon データ FirehoseData 変換」を参照してください。

  • ackIdleCleanup と言う名前の Splunk パラメータが、true に設定されていることを確認します。これはデフォルトでは false です。このパラメータを true に設定するには、次のことを行います。

    • マネージド型の Splunk Cloud デプロイの場合は、Splunk サポートポータルを使用してケースを送信します。その場合は、HTTP イベントコレクターを有効にし、ackIdleCleanuptrueinputs.conf に設定して、このアドオンを使用するようにロードバランサーを作成または変更することを Splunk サポートに依頼します。

    • 分散された Splunk Enterprise デプロイの場合は、inputs.conf ファイルで ackIdleCleanup パラメータを true に設定します。*nix ユーザーの場合、このファイルは $SPLUNK_HOME/etc/apps/splunk_httpinput/local/ にあります。​ Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\ にあります。​

    • シングルインスタンスの Splunk Enterprise デプロイの場合は、inputs.conf ファイルで ackIdleCleanup パラメータを true に設定します。*nix ユーザーの場合、このファイルは $SPLUNK_HOME/etc/apps/splunk_httpinput/local/ にあります。​ Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\ にあります。​

  • Firehose ストリームで指定された IAM ロールが、データ変換 (データ変換が有効になっている場合) のために S3 バックアップバケットと Lambda 関数にアクセスできることを確認します。また、IAM ロールが CloudWatch ロググループとログストリームにアクセスしてエラーログをチェックしていることを確認します。詳細については、「Splunk 送信先 FirehoseAccess への付与」を参照してください。

  • 詳細については、Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose を参照してください。