O Amazon Data Firehose era conhecido anteriormente como Amazon Kinesis Data Firehose
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solução de problemas do Splunk
Verifique o seguinte se os dados não forem entregues ao endpoint do Splunk.
-
Se sua plataforma Splunk estiver em uma VPC, certifique-se de que o Firehose possa acessá-la. Para obter mais informações, consulte Acesso ao Splunk na VPC.
-
Se você usa um balanceador de AWS carga, certifique-se de que seja um Classic Load Balancer ou um Application Load Balancer. Além disso, habilite sessões fixas com base na duração com a expiração de cookies desativada para o Classic Load Balancer e a expiração é definida como máxima (7 dias) para o Application Load Balancer. Para obter informações sobre como fazer isso, consulte Duration-Based Session Stickiness for Classic Load Balancer ou an Application Load Balancer.
-
Revise os requisitos da plataforma Splunk. O complemento Splunk para Firehose requer a versão 6.6.X ou posterior da plataforma Splunk. Para obter mais informações, consulte Complemento do Splunk para o Amazon Kinesis Firehose
. -
Se você tiver um proxy (Elastic Load Balancing ou outro) entre o Firehose e o nó HTTP Event Collector (HEC), habilite sessões fixas para oferecer suporte a confirmações HEC (ACKs).
-
Verifique se o token do HEC que você está usando é válido.
-
Verifique se o token do HEC está ativado. Consulte Ativar e desativar os tokens do Coletor de eventos
. -
Verifique se os dados que você está enviando ao Splunk estão formatados corretamente. Para obter mais informações, consulte Formatar eventos para o Coletor de eventos HTTP
. -
Verifique se o token do HEC e o evento de entrada estão configurados com um índice válido.
-
Quando um upload para o Splunk falhar devido a um erro do servidor a partir do nó HEC, a solicitação será automaticamente tentada novamente Se todas as novas tentativas falharem, o backup dos dados será feito no Amazon S3. Verifique se os dados aparecem no Amazon S3, o que é uma indicação dessa falha.
-
Verifique se você habilitou a confirmação do indexador no token do HEC. Para obter mais informações, consulte Habilitar confirmação do indexador
. -
Aumente o valor de
HECAcknowledgmentTimeoutInSeconds
na configuração de destino do Splunk do seu stream Firehose. -
Aumente o valor de
DurationInSeconds
underRetryOptions
na configuração de destino do Splunk do seu stream do Firehose. -
Verifique o status do HEC.
-
Se você estiver usando transformação de dados, certifique-se de que a função do Lambda nunca retorne respostas cuja carga útil exceda 6 MB. Para obter mais informações, consulte Amazon Data FirehoseData Transformation.
-
Verifique se o parâmetro do Splunk chamado
ackIdleCleanup
está definido comotrue
. Ele é "false" por padrão. Para definir o parâmetro comotrue
, faça o seguinte:-
Para uma implantação de nuvem gerenciada do Splunk
, envie um caso usando o portal de suporte do Splunk. Nesse caso, peça para que o suporte do Splunk habilite o coletor de eventos HTTP, defina o ackIdleCleanup
comotrue
eminputs.conf
e crie ou modifique um load balancer para ser usado com esse complemento. -
Para uma implantação empresarial de Splunk distribuída
, defina o parâmetro ackIdleCleanup
como verdadeiro no arquivoinputs.conf
. Para usuários do *nix, este arquivo está localizado em$SPLUNK_HOME/etc/apps/splunk_httpinput/local/
. Para usuários do Windows, está em%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\
. -
Para uma implantação empresarial Splunk de única instância
, defina o parâmetro ackIdleCleanup
comotrue
no arquivoinputs.conf
. Para usuários do *nix, este arquivo está localizado em$SPLUNK_HOME/etc/apps/splunk_httpinput/local/
. Para usuários do Windows, está em%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\
.
-
Certifique-se de que a função do IAM especificada em seu stream do Firehose possa acessar o bucket de backup do S3 e a função Lambda para transformação de dados (se a transformação de dados estiver ativada). Além disso, certifique-se de que a função do IAM tenha acesso ao grupo de CloudWatch registros e aos fluxos de registros para verificar os registros de erros. Para obter mais informações, consulte Conceder FirehoseAccess a um destino do Splunk.
-
Consulte Solução de problemas do Splunk para o Amazon Kinesis Firehose
.