本白皮书介绍了如何从AWS实例中收集数据以进行Splunk部署,包括使用Syslog和Splunk通用代理(UF)、Serverless与Splunk HTTP事件收集器(HEC)和沉重的代理(HF)的方法。首先,需要具备AWS和Splunk的基本经验,并且具有通过AWS控制台和Splunk部署的完全管理员权限。对于多账户部署,需要具有身份和访问权限在AWS子账户中启用了代入角色的管理(IAM)角色。Syslog和Splunk通用代理(UF)适用于从EC2实例和服务收集数据,这些实例和服务可以将数据发送到系统日志服务器。Serverless与Splunk HTTP事件收集器(HEC)使用AWS Lambda函数将数据从AWS馈送到Splunk HEC。沉重的代理(HF)适用于大容量数据,建议将AWS Lambda与Splunk HEC结合使用,并且不需要在Splunk中进行事件确认。需要注意的是,如果出现故障,Splunk和AWS之间事件可能被丢弃。
