本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 疑難排解 Splunk 如果資料未傳送至您的 Splunk 終端節點,請確認以下步驟。 + 如果您的 Splunk 平台位於 VPC 中,請確定 Firehose 可以存取它。如需詳細資訊,請參閱[在 VPC 中存取 Splunk](controlling-access.md#using-iam-splunk-vpc)。 + 如果您使用 AWS 負載平衡器,請確定它是 Classic Load Balancer 或 Application Load Balancer。此外,針對 Classic Load Balancer 啟用停用 Cookie 過期的持續時間型黏性工作階段,並將過期設定為 Application Load Balancer 的最大 (7 天)。如需如何執行此操作的詳細資訊,請參閱 [Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-sticky-sessions.html#enable-sticky-sessions-duration) 或 [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/sticky-sessions.html) 的持續時間型工作階段黏性。 + 檢閱 Splunk 平台的要求。Splunk 附加元件 for Firehose 需要 Splunk 平台 6.6.X 版或更新版本。如需詳細資訊,請參閱 [Amazon Kinesis Firehose 的 Splunk 附加元件](http://docs.splunk.com/Documentation/AddOns/released/Firehose/Hardwareandsoftwarerequirements)。 + 如果您在 Firehose 和 HTTP 事件收集器 (HEC) 節點之間有代理 (Elastic Load Balancing 或其他),請啟用黏性工作階段以支援 HEC 認可 (ACKs)。 + 確認您使用的是有效的 HEC 符記。 + 確認 HEC 符記已啟用。 + 檢查傳送到 Splunk 的資料是否正確格式化。如需詳細資訊,請參閱 [HTTP 事件收集器格式化事件](http://docs.splunk.com/Documentation/Splunk/7.0.3/Data/FormateventsforHTTPEventCollector)。 + 確認 HEC 符記和輸入事件已設定有效索引。 + 如果上傳至 Splunk 失敗原因在於 HEC 節點伺服器錯誤,請求會自動重試。如果重試失敗,資料會備份到 Amazon S3。檢查您的資料是否出現在 Amazon S3,若有則表示重試失敗。 + 確認您已在 HEC 符記上啟用 indexer 確認功能。 + 在 Firehose 串流的 Splunk 目的地組態`HECAcknowledgmentTimeoutInSeconds`中增加 的值。 + 在 Firehose 串流的 Splunk 目的地組態`RetryOptions`中增加 `DurationInSeconds` 下的值。 + 檢查您的 HEC 運作狀態。啟用運作狀態檢查是將資料傳輸到 Splunk 的先決條件。 + 若您正使用資料轉換功能,請確認 Lambda 函數的回應從未回傳大小超過 6 MB 的乘載。如需詳細資訊,請參閱 [Amazon Data Firehose 資料轉換](data-transformation.md#data-transformation.title)。 + 請確認名為 `ackIdleCleanup` 的 Splunk 參數已設定為 `true`。預設為 false。欲將此參數設定為 `true`,請執行下列動作: + 以[受管 Splunk 雲端部署](http://docs.splunk.com/Documentation/AddOns/released/Firehose/RequestFirehose)而言,請提交使用 Splunk 支援入口網站的案例。此時,請尋求 Splunk 協助啟用 HTTP 事件收集器、將 `inputs.conf` 內的 `ackIdleCleanup` 設定為 `true`,並建立或修改負載平衡器以使用此附加元件。 + 以[分散式 Splunk Enterprise 部署](http://docs.splunk.com/Documentation/AddOns/released/Firehose/ConfigureHECdistributed)而言,請在 `inputs.conf` 檔案中將 `ackIdleCleanup` 參數設定為 true。若是 \$1nix 使用者,這個檔案位於 `$SPLUNK_HOME/etc/apps/splunk_httpinput/local/` 底下。若是 Windows 使用者,此檔案位於 `%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\` 底下。 + 以[單一執行個體 Splunk Enterprise 部署](http://docs.splunk.com/Documentation/AddOns/released/Firehose/ConfigureHECsingle)而言,請在 `inputs.conf` 檔案中將 `ackIdleCleanup` 參數設定為 `true`。若是 \$1nix 使用者,這個檔案位於 `$SPLUNK_HOME/etc/apps/splunk_httpinput/local/` 底下。若是 Windows 使用者,此檔案位於 `%SPLUNK_HOME%\etc\apps\splunk_httpinput\local\` 底下。 + 請確定 Firehose 串流中指定的 IAM 角色可以存取 S3 備份儲存貯體和 Lambda 函數以進行資料轉換 (如果已啟用資料轉換)。此外,請確定 IAM 角色可存取 CloudWatch Logs 群組和日誌串流,以檢查錯誤日誌。如需詳細資訊,請參閱[將 FirehoseAccess 授予 Splunk 目的地](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using-iam-splunk)。 + 若要將交付至 S3 錯誤儲存貯體 (S3 備份) 的資料重新驅動回 Splunk,請遵循 [Splunk 文件](https://www.splunk.com/en_us/blog/tips-and-tricks/aws-technical-add-on-simplifying-error-data-re-ingestion.html)中所述的步驟。 + 請參閱 [Amazon Kinesis Firehose 的 Splunk 附加元件故障診斷](http://docs.splunk.com/Documentation/AddOns/released/Firehose/Troubleshoot)。