1:背景:
最近Client 发送数据到 Splunk HEC, 发现对方hostname 没有取到,都是HEC 的VIP 地址。
这个就不能发现是那个host 发过来的数据,下面查了下文档,发现Splunk 是可以跟踪发送数据的host 的,主要配置如下:
2: 解决方法:
splunk_httpinput\inputs.conf
connection_host = [ip|dns|none]
* Specify the host if an event doesn't have host set.
* "ip" sets the host to the IP address of the system sending the data.
* "dns" sets the host to the reverse DNS entry for IP address of the system sending the data.
* "none" leaves the host as specified in the HTTP header.
这个配置文件主要是写在cluster master 的上面,然后 发布到indexer server 上去,这样client server, 发送数据 通过token 到index, splunk 的search head 前台就可以收到 数据了。
注意: 上面的配置是:connection_host = dns,或者是 connection_host =