Splunk 문제 해결 - Amazon Data Firehose

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Splunk 문제 해결

Splunk 엔드포인트로 데이터가 전송되지 않는 경우, 다음 사항을 확인하세요.

  • Splunk 플랫폼이 VPC에 있는 경우 Firehose가 해당 플랫폼에 액세스할 수 있어야 합니다. 자세한 내용은 VPC에서 Splunk에 액세스 단원을 참조하십시오.

  • AWS 로드 밸런서를 사용하는 경우 Classic Load Balancer 또는 Application Load Balancer인지 확인합니다. 또한 Classic Load Balancer의 경우 쿠키 만료를 비활성화한 기간 기반 스티키 세션을 사용 설정하고, Application Load Balancer의 경우 만료 기간을 최댓값(7일)으로 설정해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 정보는 Classic Load Balancer 또는 Application Load Balancer의 기간 기반 세션 고정을 참조하세요.

  • Splunk 플랫폼 요구사항을 검토합니다. Firehose용 Splunk 추가 기능을 사용하려면 Splunk 플랫폼 버전 6.6.X 이상이 필요합니다. 자세한 내용은 Amazon Kinesis Firehose용 Splunk 추가 기능을 참조하세요.

  • Firehose 노드와 HEC(HTTP Event Collector) 노드 사이에 프록시(Elastic Load Balancing 또는 기타)가 있는 경우, HEC ACK(acknowledgement)를 지원하려면 고정 세션을 활성화해야 합니다.

  • 사용 중인 HEC 토큰이 유효한지 확인합니다.

  • HEC 토큰이 활성화되었는지 확인합니다.

  • Splunk로 전송하는 데이터가 올바른 형식으로 지정되어 있는지 확인하세요. 자세한 내용은 HTTP Event Collector에 대한 이벤트 형식 지정을 참조하세요.

  • HEC 토큰과 입력 이벤트가 유효한 인덱스로 구성되어 있는지 확인합니다.

  • HEC 노드에서의 서버 오류 때문에 Splunk로의 업로드에 실패할 때는 요청을 자동으로 재시도하게 됩니다. 모든 재시도에 실패할 경우에는 데이터가 Amazon S3에 백업됩니다. Amazon S3에 데이터가 나타나는지 확인합니다. 이는 위와 같은 실패가 발생했음을 나타냅니다.

  • HEC 토큰에 대해 인덱서 확인을 활성화했는지 확인합니다.

  • Firehose 스트림의 Splunk 대상 구성에서 HECAcknowledgmentTimeoutInSeconds의 값을 증가시킵니다.

  • Firehose 스트림의 Splunk 대상 구성에서 RetryOptionsDurationInSeconds 값을 증가시킵니다.

  • HEC 상태를 확인하세요.

  • 데이터 변환을 사용하는 경우 Lambda 함수가 절대로 페이로드 크기가 6MB를 초과하는 응답을 반환하지 않게 해야 합니다. 자세한 내용은 Amazon Data Firehose 데이터 변환을 참조하세요.

  • Splunk 파라미터 ackIdleCleanuptrue로 설정되었는지 확인합니다. 이 파라미터의 기본값은 false입니다. 이 파라미터를 true로 설정하려면 다음을 수행합니다.

    • 관리형 Splunk Cloud 배포의 경우, Splunk 지원 포털을 사용하여 사례를 제출합니다. 사례에서, Splunk 지원 부서에 HTTP 이벤트 수집기를 활성화하고, ackIdleCleanup에서 trueinputs.conf로 설정하고, 이 추가 기능에서 로드 밸런서를 사용하도록 수정을 요청합니다.

    • 배포형 Splunk Enterprise 배포의 경우 ackIdleCleanup 파라미터를 inputs.conf 파일에서 true로 설정합니다. *nix 사용자의 경우 이 파일은 $SPLUNK_HOME/etc/apps/splunk_httpinput/local/에 있습니다. Windows 사용자의 경우에는 %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\에 있습니다.

    • 단일 인스턴스 Splunk Enterprise 배포의 경우 ackIdleCleanup 파라미터를 inputs.conf 파일에서 true로 설정합니다. *nix 사용자의 경우 이 파일은 $SPLUNK_HOME/etc/apps/splunk_httpinput/local/에 있습니다. Windows 사용자의 경우에는 %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\에 있습니다.

  • Firehose 스트림에 지정된 IAM 역할이 S3 백업 버킷과 데이터 변환을 위한 Lambda 함수(데이터 변환이 활성화된 경우)에 액세스할 수 있는지 확인합니다. 또한 오류 로그를 확인할 수 있는 CloudWatch 로그 그룹 및 로그 스트림에 대한 액세스 권한이 IAM 역할에 있는지 확인합니다. 자세한 정보는 Firehose에 Splunk 대상에 대한 액세스 권한 부여를 참조하세요.

  • S3 오류 버킷(S3 백업)에 전송된 데이터를 다시 Splunk로 리드라이브하려면 Splunk 설명서에 설명된 단계를 따릅니다.

  • Amazon Kinesis Firehose용 Splunk 추가 기능 문제 해결을 참조하세요.