1.9. ログの Splunk への転送

手順

1. Base64 でエンコードされた Splunk HEC トークンを使用してシークレットを作成します。

   $ oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>

2. 以下のテンプレートを使用して、ClusterLogForwarder カスタムリソース (CR) を作成または編集します。

   apiVersion: observability.openshift.io/v1
   kind: ClusterLogForwarder
   metadata:
     name: <log_forwarder_name>
     namespace: openshift-logging
   spec:
     serviceAccount:
       name: <service_account_name> 

   1

   
     outputs:
       - name: splunk-receiver 

   2

   
         type: splunk 

   3

   
         splunk:
           url: '<http://your.splunk.hec.url:8088>' 

   4

   
           authentication:
             token:
               secretName: splunk-secret
               key: hecToken 

   5

   
           index: '{.log_type||"undefined"}' 

   6

   
           source: '{.log_source||"undefined"}' 

   7

   
           indexedFields: ['.log_type', '.log_source'] 

   8

   
           payloadKey: '.kubernetes' 

   9

   
           tuning:
               compression: gzip 

   10

   
     pipelines:
       - name: my-logs
         inputRefs: 

   11

   
           - application
           - infrastructure
         outputRefs:
           - splunk-receiver 

   12

   1

   サービスアカウントの名前。

   2

   出力の名前を指定します。

   3

   出力タイプを splunk として指定します。

   5

   HEC トークンが含まれるシークレットの名前を指定します。

   4

   Splunk HEC のポートを含む URL を指定します。

   6

   イベントの送信先となるインデックスの名前を指定します。インデックスを指定しない場合は、splunk サーバー設定のデフォルトのインデックスが使用されます。これは任意のフィールドです。

   7

   このシンクに送信されるイベントのソースを指定します。イベントごとの動的な値を設定できます。このフィールドは任意です。

   8

   Splunk インデックスに追加するフィールドを指定します。このフィールドは任意です。

   9

   ペイロードとして使用するレコードフィールドを指定します。このフィールドは任意です。

   10

   gzip または none のいずれかである圧縮設定を指定します。デフォルト値は none です。このフィールドは任意です。

   11

   入力名を指定します。

   12

   このパイプラインでログを転送する時に使用する出力の名前を指定します。