Solução de problemas do Splunk - Amazon Data Firehose

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas do Splunk

Verifique o seguinte se os dados não forem entregues ao endpoint do Splunk.

  • Se a sua plataforma do Splunk estiver em uma VPC, certifique-se de que o Firehose possa acessá-lo. Para obter mais informações, consulte Acesso ao Splunk na VPC.

  • Se você usa um balanceador de AWS carga, certifique-se de que seja um Classic Load Balancer ou um Application Load Balancer. Além disso, habilite sessões persistentes com a expiração de cookies desabilitada para o Classic Load Balancer, e a expiração definida como máxima (7 dias) para o Application Load Balancer. Para obter informações sobre como fazer isso, consulte Persistência de sessão baseada na duração para Classic Load Balancer ou Application Load Balancer.

  • Revise os requisitos da plataforma Splunk. O complemento do Splunk para o Firehose exige a versão da plataforma Splunk 6.6.X ou posterior. Para obter mais informações, consulte Complemento do Splunk para o Amazon Kinesis Firehose.

  • Se você tiver um proxy (Elastic Load Balancing ou outro) entre o Firehose e o nó HTTP Event Collector (HEC), habilite sessões fixas para suportar confirmações HEC (). ACKs

  • Verifique se o token do HEC que você está usando é válido.

  • Verifique se o token do HEC está ativado.

  • Verifique se os dados que você está enviando ao Splunk estão formatados corretamente. Para obter mais informações, consulte Formatar eventos para o Coletor de eventos HTTP.

  • Verifique se o token do HEC e o evento de entrada estão configurados com um índice válido.

  • Quando um upload para o Splunk falhar devido a um erro do servidor a partir do nó HEC, a solicitação será automaticamente tentada novamente Se todas as novas tentativas falharem, o backup dos dados será feito no Amazon S3. Verifique se os dados aparecem no Amazon S3, o que é uma indicação dessa falha.

  • Verifique se você habilitou a confirmação do indexador no token do HEC.

  • Aumente o valor de HECAcknowledgmentTimeoutInSeconds na configuração de destino do Splunk do seu fluxo do Firehose.

  • Aumente o valor de DurationInSeconds em RetryOptions na configuração do destino do Splunk do seu fluxo do Firehose.

  • Verifique o status do HEC.

  • Se você estiver usando transformação de dados, certifique-se de que a função do Lambda nunca retorne respostas cuja carga útil exceda 6 MB. Para obter mais informações, consulte Transformação de dados do Amazon Data Firehose.

  • Verifique se o parâmetro do Splunk chamado ackIdleCleanup está definido como true. Ele é "false" por padrão. Para definir o parâmetro como true, faça o seguinte:

    • Para uma implantação de nuvem gerenciada do Splunk, envie um caso usando o portal de suporte do Splunk. Nesse caso, peça para que o suporte do Splunk habilite o coletor de eventos HTTP, defina o ackIdleCleanup como true em inputs.conf e crie ou modifique um load balancer para ser usado com esse complemento.

    • Para uma implantação empresarial de Splunk distribuída, defina o parâmetro ackIdleCleanup como verdadeiro no arquivo inputs.conf. Para usuários do *nix, este arquivo está localizado em $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para usuários do Windows, está em %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Para uma implantação empresarial Splunk de única instância, defina o parâmetro ackIdleCleanup como true no arquivo inputs.conf. Para usuários do *nix, este arquivo está localizado em $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para usuários do Windows, está em %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Certifique-se de que o perfil do IAM especificado no seu fluxo do Firehose tenha acesso ao bucket de backup do S3 e à função do Lambda para transformação de dados (se a transformação de dados estiver habilitada). Além disso, certifique-se de que a função do IAM tenha acesso ao grupo de CloudWatch registros e aos fluxos de registros para verificar os registros de erros. Para obter mais informações, consulte Conceder FirehoseAccess a um destino do Splunk.

  • Para redirecionar os dados que foram entregues ao bucket de erros do S3 (backup do S3) de volta ao Splunk, siga as etapas mencionadas na Documentação do Splunk.

  • Consulte Solução de problemas do Splunk para o Amazon Kinesis Firehose.