Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

1.9. Splunk へのログ転送

Splunk は、その機能群を活用するために、明確に定義された API を備えたログ集約サービスです。ClusterLogForwarder カスタムリソース (CR) から Splunk にログを転送できます。

1.9.1. Splunk HTTP Event Collector へのログの転送
リンクのコピー

ログを Splunk HTTP Event Collector (HEC) に転送できます。

前提条件

  • Red Hat OpenShift Logging Operator がインストールされている。
  • Base64 でエンコードされた Splunk HEC トークンを取得した。

手順

  1. Base64 でエンコードされた Splunk HEC トークンを使用してシークレットを作成します。 

    $ oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>
    Copy to Clipboard Toggle word wrap

  2. 以下のテンプレートを使用して、ClusterLogForwarder カスタムリソース (CR) を作成または編集します。 

    apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: openshift-logging
spec:
  serviceAccount:
    name: <service_account_name>
    1 
    
  outputs:
    - name: splunk-receiver
    2 
    
      type: splunk
    3 
    
      splunk:
        url: '<http://your.splunk.hec.url:8088>'
    4 
    
        authentication:
          token:
            secretName: splunk-secret
            key: hecToken
    5 
    
        index: '{.log_type||"undefined"}'
    6 
    
        source: '{.log_source||"undefined"}'
    7 
    
        indexedFields: ['.log_type', '.log_source']
    8 
    
        payloadKey: '.kubernetes'
    9 
    
        tuning:
            compression: gzip
    10 
    
  pipelines:
    - name: my-logs
      inputRefs:
    11 
    
        - application
        - infrastructure
      outputRefs:
        - splunk-receiver
    12
    Copy to Clipboard Toggle word wrap
    1
    サービスアカウントの名前。
    2
    出力の名前を指定します。
    3
    出力タイプを splunk として指定します。
    5
    HEC トークンが含まれるシークレットの名前を指定します。
    4
    Splunk HEC の URL (ポートを含む) を指定します。
    6
    イベントの送信先となるインデックスの名前を指定します。インデックスを指定しない場合は、Splunk サーバー設定のデフォルトのインデックスが使用されます。これは任意のフィールドです。
    7
    このシンクに送信するイベントのソースを指定します。イベントごとに動的な値を設定できます。このフィールドは任意です。値を指定しない場合、フィールドの値は log_type 値と log_source 値によって決まります。例については、デフォルトの Splunk メタデータキー値 を参照してください。
    8
    Splunk インデックスに追加するフィールドを指定します。このフィールドは任意です。これらの値は生のイベントデータとともにインデックス内に直接保存されるため、それらのフィールドに対する検索のパフォーマンスが向上します。ただし、indexed_fields フィールドによってストレージの使用量が増加します。このフィールドは、検索面で大きなメリットが得られる価値の高いフィールドにのみ使用してください。たとえば、特定のフィールドに対して頻繁にクエリーを実行する大規模なデータセットなどで使用します。複雑なネストされたフィールドをインデックスフィールドとして使用できます。このようなフィールドは Splunk の要件に合わせて自動的に変換されます。
    9
    ペイロードとして使用するレコードフィールドを指定します。デフォルトでは、payloadKey フィールドは設定されていません。つまり、完全なログレコードがペイロードとして転送されます。payloadKey フィールドは慎重に使用してください。ペイロードとして単一のフィールドを選択すると、ログ内の他の重要な情報が削除され、ログイベントの整合性や完全性が失われる可能性があります。
    10
    圧縮設定を指定します。gzip または none のいずれかを指定できます。デフォルト値は none です。このフィールドは任意です。
    11
    入力名を指定します。
    12
    このパイプラインでログを転送する時に使用する出力の名前を指定します。

1.9.2. デフォルトの Splunk メタデータキー値
リンクのコピー

ClusterLogForwarder カスタムリソース (CR) の spec.output.splunk.source フィールドに値が設定されていない場合、Red Hat OpenShift Logging Operator が一部の Splunk メタデータキーにデフォルト値を設定します。

次の表に、log_type および log_source 属性に応じて Splunk メタデータに使用されるデフォルト値を示します。

Expand
表1.2 デフォルトのメタデータキー値

キー

インフラストラクチャージャーナル

  • log_type:infrastructure
  • log_source:node

インフラストラクチャーまたはアプリケーションコンテナー

  • log_type: infrastructure、application
  • log_source:container

監査

  • log_type:audit
  • log_source: Auditd、ovn、openshiftAPI、kubeAPI

注記

index

   

デフォルトでは設定されていません。

source

SYSLOG_IDENTIFIER

ns_name_podName_containerName

.log_source

 

indexedFields

   

デフォルトでは設定されていません。

sourceType

_json または generic_single_line

_json または generic_single_line

_json または generic_single_line

最終的なイベントペイロードのタイプに基づいて自動的に決定されます。

host

.hostname

.hostname

.hostname

設定できません。

payloadKey

   

デフォルトでは設定されていません。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat