1.9. Splunk へのログ転送

手順

1. Base64 でエンコードされた Splunk HEC トークンを使用してシークレットを作成します。

   $ oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>

   Copy to Clipboard Toggle word wrap

2. 以下のテンプレートを使用して、ClusterLogForwarder カスタムリソース (CR) を作成または編集します。

   apiVersion: observability.openshift.io/v1
   kind: ClusterLogForwarder
   metadata:
     name: <log_forwarder_name>
     namespace: openshift-logging
   spec:
     serviceAccount:
       name: <service_account_name> 

   1

   
     outputs:
       - name: splunk-receiver 

   2

   
         type: splunk 

   3

   
         splunk:
           url: '<http://your.splunk.hec.url:8088>' 

   4

   
           authentication:
             token:
               secretName: splunk-secret
               key: hecToken 

   5

   
           index: '{.log_type||"undefined"}' 

   6

   
           source: '{.log_source||"undefined"}' 

   7

   
           indexedFields: ['.log_type', '.log_source'] 

   8

   
           payloadKey: '.kubernetes' 

   9

   
           tuning:
               compression: gzip 

   10

   
     pipelines:
       - name: my-logs
         inputRefs: 

   11

   
           - application
           - infrastructure
         outputRefs:
           - splunk-receiver 

   12

   Copy to Clipboard Toggle word wrap

   1

   サービスアカウントの名前。

   2

   出力の名前を指定します。

   3

   出力タイプを splunk として指定します。

   5

   HEC トークンが含まれるシークレットの名前を指定します。

   4

   Splunk HEC の URL (ポートを含む) を指定します。

   6

   イベントの送信先となるインデックスの名前を指定します。インデックスを指定しない場合は、Splunk サーバー設定のデフォルトのインデックスが使用されます。これは任意のフィールドです。

   7

   このシンクに送信するイベントのソースを指定します。イベントごとに動的な値を設定できます。このフィールドは任意です。

   8

   Splunk インデックスに追加するフィールドを指定します。このフィールドは任意です。

   9

   ペイロードとして使用するレコードフィールドを指定します。このフィールドは任意です。

   10

   圧縮設定を指定します。gzip または none のいずれかを指定できます。デフォルト値は none です。このフィールドは任意です。

   11

   入力名を指定します。

   12

   このパイプラインでログを転送する時に使用する出力の名前を指定します。