View a markdown version of this page

Solución de problemas de Splunk - Amazon Data Firehose

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de Splunk

Realice las siguientes comprobaciones si los datos no se entregan a su punto de enlace de Splunk.

  • Si la plataforma Splunk está en una VPC, asegúrese de que Firehose tenga acceso a ella. Para obtener más información, consulte Acceso a Splunk en VPC.

  • Si utilizas un balanceador de AWS cargas, asegúrate de que sea un Classic Load Balancer o un Application Load Balancer. Además, habilite las sesiones persistentes basadas en la duración con la caducidad de las cookies deshabilitada para el equilibrador de carga clásico y la caducidad establecida en el máximo (7 días) para el equilibrador de carga de aplicación. Para obtener información sobre cómo hacerlo, consulte Duration-Based Session Sintkiness for Classic Load Balancer o Application Load Balancer.

  • Revise los requisitos de la plataforma Splunk. El complemento de Splunk para Firehose requiere la versión 6.6.X o posterior de la plataforma Splunk. Para obtener más información, consulte Splunk Add-on para Amazon Kinesis Firehose.

  • Si tiene un proxy (Elastic Load Balancing o cualquier otro) entre Firehose y el nodo del recopilador de eventos HTTP (HEC), habilite las sesiones persistentes para admitir los reconocimientos (ACK) de HEC.

  • Asegúrese de utilizar un token de HEC válido.

  • Asegúrese de que el token de HEC esté habilitado.

  • Compruebe que los datos que está enviando a Splunk tienen el formato correcto. Para obtener más información, consulte Format events for HTTP Event Collector.

  • Asegúrese de que el token de HEC y el evento de entrada estén configurados con un índice válido.

  • Cuando una carga en Splunk falla debido a un error del servidor desde el nodo del HEC, la solicitud vuelve a enviarse automáticamente. Si fallan todos los reintentos, se crea una copia de seguridad de los datos en Amazon S3. Compruebe si los datos aparecen en Amazon S3; esa es una indicación de este tipo de error.

  • Asegúrese de que ha activado la confirmación de indexadores en el token de HEC.

  • Aumente el valor de HECAcknowledgmentTimeoutInSeconds en la configuración de destino de Splunk de su flujo de Firehose.

  • Aumente el valor de DurationInSeconds en RetryOptions en la configuración de destino de Splunk de su flujo de Firehose.

  • Compruebe el estado del HEC. Habilitar la comprobación de estado es un requisito previo para la transferencia de datos a Splunk.

  • Si usa la transformación de datos, asegúrese de que la función de Lambda nunca devuelva respuestas cuyo tamaño de carga sea superior a 6 MB. Para obtener más información, consulte Transformación de datos de Amazon Data Firehose.

  • Asegúrese de que el parámetro Splunk denominado ackIdleCleanup se establece en true. Su valor predeterminado es false. Para establecer este parámetro en true, haga lo siguiente:

    • Para una implementación de Splunk Cloud administrada, envíe un caso utilizando el portal de soporte de Splunk. En este caso, pida al soporte de Splunk que habilite el recopilador de eventos HTTP, establezca ackIdleCleanup en true en inputs.conf y cree o modifique un balanceador de carga para usarlo con este complemento.

    • Para efectuar una implementación distribuida de Splunk Enterprise, establezca el parámetro ackIdleCleanup en true en el archivo inputs.conf. Para los usuarios de *nix, este archivo se encuentra en $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para los usuarios de Windows, se encuentra en %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

    • Para efectuar una implementación de una sola instancia de Splunk Enterprise, establezca el parámetro ackIdleCleanup en true en el archivo inputs.conf. Para los usuarios de *nix, este archivo se encuentra en $SPLUNK_HOME/etc/apps/splunk_httpinput/local/. Para los usuarios de Windows, se encuentra en %SPLUNK_HOME%\etc\apps\splunk_httpinput\local\.

  • Asegúrese de que el rol de IAM especificado en su flujo de Firehose tenga acceso al bucket de copias de seguridad de S3 y a la función de Lambda para la transformación de datos (si esta está habilitada). Además, asegúrese de que la función de IAM tenga acceso al grupo de registros y a CloudWatch los flujos de registros para comprobar los registros de errores. Para obtener más información, consulte Concesión FirehoseAccess a un destino de Splunk.

  • Para volver a enviar a Splunk los datos que se enviaron al bucket de errores de S3 (copia de seguridad de S3), siga los pasos que se mencionan en la documentación de Splunk.

  • Consulte Solución de problemas de Splunk Add-on para Amazon Kinesis Firehose.