1.9. Splunk로 로그 전달

프로세스

1. Base64로 인코딩된 Splunk HEC 토큰을 사용하여 시크릿을 생성합니다.

   $ oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>

   Copy to Clipboard Toggle word wrap

2. 아래 템플릿을 사용하여 ClusterLogForwarder 사용자 정의 리소스(CR)를 생성하거나 편집합니다.

   apiVersion: observability.openshift.io/v1
   kind: ClusterLogForwarder
   metadata:
     name: <log_forwarder_name>
     namespace: openshift-logging
   spec:
     serviceAccount:
       name: <service_account_name> 

   1

   
     outputs:
       - name: splunk-receiver 

   2

   
         type: splunk 

   3

   
         splunk:
           url: '<http://your.splunk.hec.url:8088>' 

   4

   
           authentication:
             token:
               secretName: splunk-secret
               key: hecToken 

   5

   
           index: '{.log_type||"undefined"}' 

   6

   
           source: '{.log_source||"undefined"}' 

   7

   
           indexedFields: ['.log_type', '.log_source'] 

   8

   
           payloadKey: '.kubernetes' 

   9

   
           tuning:
               compression: gzip 

   10

   
     pipelines:
       - name: my-logs
         inputRefs: 

   11

   
           - application
           - infrastructure
         outputRefs:
           - splunk-receiver 

   12

   Copy to Clipboard Toggle word wrap

   1

   서비스 계정의 이름입니다.

   2

   출력 이름을 지정합니다.

   3

   출력 유형을 splunk 로 지정합니다.

   5

   HEC 토큰이 포함된 시크릿의 이름을 지정합니다.

   4

   Splunk HEC의 포트를 포함한 URL을 지정합니다.

   6

   이벤트를 보낼 인덱스의 이름을 지정합니다. 인덱스를 지정하지 않으면 스플루크 서버 구성의 기본 인덱스가 사용됩니다. 이 필드는 선택적 필드입니다.

   7

   이 싱크로 전송할 이벤트 소스를 지정합니다. 이벤트별 동적 값을 구성할 수 있습니다. 이 필드는 선택 사항입니다.

   8

   Splunk 인덱스에 추가할 필드를 지정합니다. 이 필드는 선택 사항입니다.

   9

   페이로드로 사용할 레코드 필드를 지정합니다. 이 필드는 선택 사항입니다.

   10

   gzip 또는 none 중 하나일 수 있는 압축 구성을 지정합니다. 기본값은 none 입니다. 이 필드는 선택 사항입니다.

   11

   입력 이름을 지정합니다.

   12

   이 파이프라인으로 로그를 전달할 때 사용할 출력 이름을 지정합니다.