Solução de problemas do Splunk - Amazon Data Firehose

O Amazon Data Firehose era conhecido anteriormente como Amazon Kinesis Data Firehose

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas do Splunk

Verifique o seguinte se os dados não forem entregues ao endpoint do Splunk.

  • Se sua plataforma Splunk estiver em uma VPC, certifique-se de que o Firehose possa acessá-la. Para obter mais informações, consulte Acesso ao Splunk na VPC.

  • Se você usa um balanceador de AWS carga, certifique-se de que seja um Classic Load Balancer ou um Application Load Balancer. Além disso, habilite sessões fixas com base na duração com a expiração de cookies desativada para o Classic Load Balancer e a expiração é definida como máxima (7 dias) para o Application Load Balancer. Para obter informações sobre como fazer isso, consulte Duration-Based Session Stickiness for Classic Load Balancer ou an Application Load Balancer.

  • Revise os requisitos da plataforma Splunk. O complemento Splunk para Firehose requer a versão 6.6.X ou posterior da plataforma Splunk. Para obter mais informações, consulte Complemento do Splunk para o Amazon Kinesis Firehose.

  • Se você tiver um proxy (Elastic Load Balancing ou outro) entre o Firehose e o nó HTTP Event Collector (HEC), habilite sessões fixas para oferecer suporte a confirmações HEC (ACKs).

  • Verifique se o token do HEC que você está usando é válido.

  • Verifique se o token do HEC está ativado. Consulte Ativar e desativar os tokens do Coletor de eventos.

  • Verifique se os dados que você está enviando ao Splunk estão formatados corretamente. Para obter mais informações, consulte Formatar eventos para o Coletor de eventos HTTP.

  • Verifique se o token do HEC e o evento de entrada estão configurados com um índice válido.

  • Quando um upload para o Splunk falhar devido a um erro do servidor a partir do nó HEC, a solicitação será automaticamente tentada novamente Se todas as novas tentativas falharem, o backup dos dados será feito no Amazon S3. Verifique se os dados aparecem no Amazon S3, o que é uma indicação dessa falha.

  • Verifique se você habilitou a confirmação do indexador no token do HEC. Para obter mais informações, consulte Habilitar confirmação do indexador.

  • Aumente o valor de HECAcknowledgmentTimeoutInSeconds na configuração de destino do Splunk do seu stream Firehose.

  • Aumente o valor de DurationInSeconds under RetryOptions na configuração de destino do Splunk do seu stream do Firehose.

  • Verifique o status do HEC.

  • Se você estiver usando transformação de dados, certifique-se de que a função do Lambda nunca retorne respostas cuja carga útil exceda 6 MB. Para obter mais informações, consulte Amazon Data FirehoseData Transformation.

  • Verifique se o parâmetro do Splunk chamado ackIdleCleanup está definido como true. Ele é "false" por padrão. Para definir o parâmetro como true, faça o seguinte:

    • Para uma implantação de nuvem gerenciada do Splunk, envie um caso usando o portal de suporte do Splunk. Nesse caso, peça para que o suporte do Splunk habilite o coletor de eventos HTTP, defina o ackIdleCleanup como true em inputs.conf e crie ou modifique um load balancer para ser usado com esse complemento.

    • Para uma implantação empresarial de Splunk distribuída, defina o parâmetro ackIdleCleanup como verdadeiro no arquivo inputs.conf. Para usuários do *nix, este arquivo está localizado em $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para usuários do Windows, está em %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Para uma implantação empresarial Splunk de única instância, defina o parâmetro ackIdleCleanup como true no arquivo inputs.conf. Para usuários do *nix, este arquivo está localizado em $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para usuários do Windows, está em %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Certifique-se de que a função do IAM especificada em seu stream do Firehose possa acessar o bucket de backup do S3 e a função Lambda para transformação de dados (se a transformação de dados estiver ativada). Além disso, certifique-se de que a função do IAM tenha acesso ao grupo de CloudWatch registros e aos fluxos de registros para verificar os registros de erros. Para obter mais informações, consulte Conceder FirehoseAccess a um destino do Splunk.

  • Consulte Solução de problemas do Splunk para o Amazon Kinesis Firehose.