Splunk 문제 해결 - Amazon Data Firehose

Amazon Data Firehose 스트림을 Amazon S3의 Apache Iceberg Table로 전송하는 작업은 미리 보기 중이며 변경될 수 있습니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Splunk 문제 해결

Splunk 엔드포인트로 데이터가 전송되지 않는 경우, 다음 사항을 확인하십시오.

  • Splunk 플랫폼이 VPC a에 있는 경우 Firehose가 해당 플랫폼에 액세스할 수 있는지 확인하세요. 자세한 내용은 에서 Splunk 액세스를 참조하십시오. VPC

  • AWS 로드 밸런서를 사용하는 경우 Classic Load Balancer 또는 Application Load Balancer인지 확인하십시오. 또한 Classic Load Balancer의 경우 쿠키 만료를 비활성화하고 Application Load Balancer의 경우 만료를 최대 (7일) 로 설정하여 기간 기반 고정 세션을 활성화하십시오. 이 작업을 수행하는 방법에 대한 자세한 내용은 Classic Load Balancer 또는 Application Load Balancer의 기간 기반 세션 고정성을 참조하십시오.

  • Splunk 플랫폼 요구사항을 검토합니다. Firehose용 Splunk 애드온을 사용하려면 Splunk 플랫폼 버전 6.6.X 이상이 필요합니다. 자세한 내용은 Splunk Add-on for Amazon Kinesis Firehose를 참조하십시오.

  • Firehose와 HTTP 이벤트 컬렉터 () 노드 사이에 프록시 (Elastic Load Balancing 또는 기타HEC) 가 있는 경우, 고정 세션을 활성화하여 HEC 승인 () 을 지원하세요. ACKs

  • 유효한 토큰을 사용하고 있는지 확인하세요. HEC

  • HEC토큰이 활성화되어 있는지 확인하세요.

  • Splunk로 전송하는 데이터가 올바른 형식으로 지정되어 있는지 확인하십시오. 자세한 내용은 이벤트 컬렉터의 HTTP 이벤트 형식 지정을 참조하십시오.

  • HEC토큰 및 입력 이벤트가 유효한 인덱스로 구성되어 있는지 확인하십시오.

  • 노드의 서버 오류로 인해 Splunk에 HEC 업로드가 실패하면 요청이 자동으로 재시도됩니다. 모든 재시도에 실패할 경우에는 데이터가 Amazon S3에 백업됩니다. Amazon S3에 데이터가 나타나는지 확인합니다. 이는 위와 같은 실패가 발생했음을 나타냅니다.

  • 토큰에 인덱서 승인을 활성화했는지 확인하세요. HEC 자세한 정보는 인덱서 확인 활성화를 참조하십시오.

  • Firehose 스트림의 Splunk 대상 HECAcknowledgmentTimeoutInSeconds 구성에서 의 가치를 높이세요.

  • Firehose 스트림의 Splunk 대상 RetryOptions 구성에서 DurationInSeconds 언더의 값을 늘리십시오.

  • 건강 상태를 확인하세요. HEC

  • 데이터 변환을 사용하는 경우 Lambda 함수가 절대로 페이로드 크기가 6MB를 초과하는 응답을 반환하지 않게 해야 합니다. 자세한 내용은 Amazon 데이터 FirehoseData 변환을 참조하십시오.

  • Splunk 파라미터 ackIdleCleanuptrue로 설정되었는지 확인합니다. 이 파라미터의 기본값은 false입니다. 이 파라미터를 true로 설정하려면 다음을 수행합니다.

    • 관리형 Splunk Cloud 배포의 경우, Splunk 지원 포털을 사용하여 사례를 제출합니다. 이 경우 Splunk 지원팀에 문의하여 HTTP 이벤트 수집기를 활성화하고 ackIdleCleanup in으로 true 설정하고 이 애드온과 함께 사용할 로드 밸런서를 생성 또는 수정하십시오. inputs.conf

    • 배포형 Splunk Enterprise 배포의 경우 ackIdleCleanup 파라미터를 inputs.conf 파일에서 true로 설정합니다. *nix 사용자의 경우 이 파일은 $SPLUNK_HOME/etc/apps/splunk_httpinput/local/에 있습니다. Windows 사용자의 경우에는 %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\에 있습니다.

    • 단일 인스턴스 Splunk Enterprise 배포의 경우 ackIdleCleanup 파라미터를 inputs.conf 파일에서 true로 설정합니다. *nix 사용자의 경우 이 파일은 $SPLUNK_HOME/etc/apps/splunk_httpinput/local/에 있습니다. Windows 사용자의 경우에는 %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\에 있습니다.

  • Firehose 스트림에 지정된 IAM 역할이 S3 백업 버킷과 데이터 변환을 위한 Lambda 함수에 액세스할 수 있는지 확인하십시오 (데이터 변환이 활성화된 경우). 또한 오류 CloudWatch 로그를 확인하려면 IAM 역할에 Logs 그룹 및 로그 스트림에 대한 액세스 권한이 있어야 합니다. 자세한 내용은 Splunk 대상에 FirehoseAccess 허용을 참조하십시오.

  • S3 오류 버킷 (S3 백업) 으로 전송된 데이터를 다시 Splunk로 다시 전송하려면 Splunk 설명서에 나와 있는 단계를 따르십시오.

  • Splunk Add-on for Amazon Kinesis Firehose 문제 해결을 참조하십시오.