是否可以以编程方式将源类型设置为生成日志的名称空间?我正在使用 fluidd 插件将数据发送到 Splunk http 事件收集器。在其他地方,建议使用 ${record['kubernetes']['namespace_name'] 将索引名称设置为命名空间名称。当我对源类型执行此操作时,实际文本仅显示在 Splunk 中,而不是转换为特定的命名空间名称。
@include systemd.conf
@include kubernetes.conf
<match kubernetes.var.log.containers.fluentd**>
type null
</match>
<match **>
type splunk-http-eventcollector
all_items true
server host:port
token ****
index kubernetes
protocol https
verify false
sourcetype ${record['kubernetes']['namespace_name']
source kubernetes
buffer_type memory
buffer_queue_limit 16
chunk_limit_size 8m
buffer_chunk_limit 150k
flush_interval 5s
</match>
如果您还没有定义sourcetype以适当的props.conf(以及相关的transforms.conf),Splunk 将尝试根据启发式确定源类型
这些启发式方法对于自定义数据源通常不是很准确
不要尝试“以编程方式将源类型设置为生成日志的名称空间”,而是添加一个字段,其内容指示生成日志的名称空间(例如“名称空间”)
它更简单,更有效地扩展您的日志记录,并且不需要定义分数或数百或数千个单独的源类型
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
