堆栈内存溢出
  繁体   English   中英

Fluentd 发送到 Splunk HEC:想要将 sourcetype 设置为命名空间

[英]Fluentd sending to Splunk HEC: Want to set sourcetype to the namespace

 原文  2018-05-04 16:59:24       kubernetes/ splunk/ fluentd

问题描述

是否可以以编程方式将 sourcetype 设置为生成日志的名称空间? 我正在使用 fluentd 插件将数据发送到 Splunk http 事件收集器。 在其他地方,建议使用 ${record['kubernetes']['namespace_name'] 将索引名称设置为命名空间名称。 当我为 sourcetype 执行此操作时,实际文本只会显示在 Splunk 中,而不是转换为特定的命名空间名称。

@include systemd.conf
@include kubernetes.conf

<match kubernetes.var.log.containers.fluentd**>
  type null
</match>

<match **>
  type splunk-http-eventcollector
  all_items true
  server host:port
  token ****
  index kubernetes
  protocol https
  verify false
  sourcetype ${record['kubernetes']['namespace_name']
  source kubernetes
  buffer_type memory
  buffer_queue_limit 16
  chunk_limit_size 8m
  buffer_chunk_limit 150k
  flush_interval 5s
</match>

1 个解决方案

解决方案1
 0  2022-07-26 18:36:15

如果您没有在适当的sourcetype (和关联的transforms.conf )中定义源props.conf ,Splunk 将尝试根据启发式方法确定源类型

这些启发式方法在自定义数据源上通常不是很准确

不要尝试“以编程方式将源类型设置为生成日志的名称空间”,而是添加一个字段,其内容指示生成日志的名称空间(例如“名称空间”)

它更简单,更有效地扩展您的日志记录,并且不需要定义分数或数百或数千个单独的源类型

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Fluentd:更改主机字段(Splunk HEC 输出) 使用 fluentd 进行 kubernetes 审计日志过滤并转发到 Splunk 我正在尝试通过结束我的 splunk 云实例的事件来测试我的 splunk HEC 令牌,如何验证我拥有正确的 HEC 主机名? Kubernetes:仅将 Fluentd 安装到命名空间 不同命名空间的单独索引 fluentD 如何获取日志流利的特定命名空间 "用于将日志发送到 Splunk 的 Kubernetes Sidecar" Kubernetes - 在 AWS EKS Fargate 中,如何将日志从一个容器发送到 Splunk 的 FluentD? 使用格式json时,fluentd splunk-http-eventcollector插件错误请求400 fluentd 守护进程为 papertrail 设置容器无法在 kubernetes 集群中启动
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM