Splunk のトラブルシューティング - Amazon Data Firehose

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Splunk のトラブルシューティング

Splunk エンドポイントにデータが配信されない場合は、以下の点を確認してください。

  • Splunk プラットフォームが にある場合はVPC、Firehose がアクセスできることを確認してください。詳細については、 の「Splunk へのアクセスVPC」を参照してください。

  • AWS ロードバランサーを使用する場合は、それが Classic Load Balancer または Application Load Balancer であることを確認します。また、Classic Load Balancer では Cookie の有効期限が無効になっており、Application Load Balancer では有効期限が最大 (7 日間) に設定されています。これを行う方法の詳細については、「Classic Load Balancer または Application Load Balancer の持続時間ベースのセッションのスティクネス」を参照してください。

  • Splunk プラットフォームの要件を確認します。Firehose 用の Splunk アドオンには、Splunk プラットフォームバージョン 6.6.X 以降が必要です。詳細については、「Splunk Add-on for Amazon Kinesis Firehose」を参照してください。

  • Firehose と HTTP Event Collector () ノードの間にプロキシ (Elastic Load Balancing など) がある場合は、HEC確認応答 (HEC) をサポートするスティッキーセッションを有効にしますACKs。

  • 有効なHECトークンを使用していることを確認してください。

  • HEC トークンが有効になっていることを確認します。

  • Splunk に送信しているデータの形式が正しいかどうかを確認します。詳細については、HTTP「Event Collector のイベントをフォーマットする」を参照してください。

  • HEC トークンと入力イベントが有効なインデックスで設定されていることを確認します。

  • HEC ノードからのサーバーエラーが原因で Splunk へのアップロードが失敗すると、リクエストは自動的に再試行されます。すべての再試行が失敗すると、データは Amazon S3 にバックアップされます。データが Amazon S3 にあるかどうかを確認します。ある場合、そのような障害が発生したことを示します。

  • HEC トークンでインデクサー確認を有効にしていることを確認してください。

  • Firehose ストリームの Splunk 送信先設定HECAcknowledgmentTimeoutInSecondsで の値を増やします。

  • Firehose ストリームの Splunk 送信先設定RetryOptionsで の DurationInSeconds の値を増やします。

  • HEC ヘルスを確認します。

  • データ変換を使用している場合は、Lambda 関数が、6 MB を超えるペイロードサイズのレスポンスを返さないようにします。詳細については、「Amazon Data FirehoseData Transformation 」を参照してください。

  • ackIdleCleanup と言う名前の Splunk パラメータが、true に設定されていることを確認します。これはデフォルトでは false です。このパラメータを true に設定するには、次のことを行います。

    • マネージド型の Splunk Cloud デプロイの場合は、Splunk サポートポータルを使用してケースを送信します。この場合、Splunk サポートにHTTPイベントコレクターの有効化を依頼し、 trueackIdleCleanupを に設定しinputs.conf、このアドオンで使用するロードバランサーを作成または変更します。

    • 分散された Splunk Enterprise デプロイの場合は、inputs.conf ファイルで ackIdleCleanup パラメータを true に設定します。*nix ユーザーの場合、このファイルは $SPLUNK_HOME/etc/apps/splunk_httpinput/local/ にあります。​ Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\ にあります。​

    • シングルインスタンスの Splunk Enterprise デプロイの場合は、inputs.conf ファイルで ackIdleCleanup パラメータを true に設定します。*nix ユーザーの場合、このファイルは $SPLUNK_HOME/etc/apps/splunk_httpinput/local/ にあります。​ Windows ユーザーの場合、%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\ にあります。​

  • Firehose ストリームで指定されたIAMロールが、データ変換のために S3 バックアップバケットと Lambda 関数にアクセスできることを確認します (データ変換が有効になっている場合)。また、エラーログをチェックするために、IAMロールが CloudWatch Logs グループとログストリームにアクセスできることを確認してください。詳細については、「Splunk 送信先 FirehoseAccess への付与」を参照してください。

  • S3 エラーバケット (S3 バックアップ) に配信されたデータを Splunk に再処理するには、Splunk ドキュメント に記載されているステップに従います。

  • 詳細については、Troubleshoot the Splunk Add-on for Amazon Kinesis Firehose を参照してください。