[英]Fluentd: Change host field (Splunk HEC output)
我部署了 BanzaiCloud Logging Operator 以使用 fluentd 將日志發送到 Splunk。 Splunk 將源(主機)解釋為fluentd-0但我希望將$namespace.$pod作為主機字段。 我試圖用 record_modifier 覆蓋該字段,最終獲得第二個主機字段。
...
spec:
filters:
- record_transformer:
records:
- host: ${namespace_name}.${pod_name}
...
我還嘗試了替換記錄修飾符的 function - 沒有成功。
spec:
filters:
- record_modifier:
replaces:
- key: host
expression: /^fluentd-0$/
replace: ${namespace_name}.${pod_name}
我認為主機字段不是“日志有效負載”的一部分,因此無法使用Record Modifier或Record Transformer進行操作
誰能告訴我需要配置什么以便將主機字段替換為 namespace.pod?
好的,我找到了解決方案:主機字段由 Output 生成,而不是由 Flow 生成。 所以像這樣改變它:
apiVersion: logging.banzaicloud.io/v1beta1
kind: Output
spec:
splunkHec:
...
host_key: kubernetes.container_name
...
最終將預期名稱作為主機而不是fluentd-0 。 如果應該硬編碼,也可以使用host代替host_key 。
Fluentd 發送到 Splunk HEC:想要將 sourcetype 設置為命名空間
[英]Fluentd sending to Splunk HEC: Want to set sourcetype to the namespace
我正在嘗試通過結束我的 splunk 雲實例的事件來測試我的 splunk HEC 令牌,如何驗證我擁有正確的 HEC 主機名?
[英]I am trying to test my splunk HEC token by ending an event to my splunk cloud instance, How can i verify i have the right HEC host name?
使用 fluentd 進行 kubernetes 審計日志過濾並轉發到 Splunk
[英]kubernetes audit log filtering with fluentd and forwarding to Splunk
Kubernetes - 在 AWS EKS Fargate 中,如何將日志從一個容器發送到 Splunk 的 FluentD?
[英]Kubernetes - In AWS EKS Fargate How Can I Send Logs From One Container To FluentD For Splunk?
使用格式json時,fluentd splunk-http-eventcollector插件錯誤請求400
[英]fluentd splunk-http-eventcollector plugin Bad Request 400 when using format json
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.