11.15. 将日志转发到 Splunk

除了内部的默认 OpenShift Container Platform 日志存储外，您还可以将日志转发到 Splunk HTTP 事件收集器 (HEC)。

注意

不支持在 Fluentd 中使用此功能。

先决条件

Red Hat OpenShift Logging Operator 5.6 及更高版本
指定为 collector 的 ClusterLogging 实例
Base64 编码的 Splunk HEC 令牌

流程

使用您的 Base64 编码的 Splunk HEC 令牌创建 secret。

oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>

$ oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>

Copy to Clipboard

Toggle word wrap

使用以下模板创建或编辑 ClusterLogForwarder 自定义资源 (CR)：

  apiVersion: "logging.openshift.io/v1"
  kind: "ClusterLogForwarder"
  metadata:
    name: "instance" 
    namespace: "openshift-logging" 
  spec:
    outputs:
      - name: splunk-receiver 
        secret:
          name: vector-splunk-secret 
        type: splunk 
        url: <http://your.splunk.hec.url:8088> 
    pipelines: 
      - inputRefs:
          - application
          - infrastructure
        name: 
        outputRefs:
          - splunk-receiver

  apiVersion: "logging.openshift.io/v1"
  kind: "ClusterLogForwarder"
  metadata:
    name: "instance"


    namespace: "openshift-logging"


  spec:
    outputs:
      - name: splunk-receiver


        secret:
          name: vector-splunk-secret


        type: splunk


        url: <http://your.splunk.hec.url:8088>


    pipelines:


      - inputRefs:
          - application
          - infrastructure
        name:


        outputRefs:
          - splunk-receiver

Copy to Clipboard

Toggle word wrap

1: ClusterLogForwarder CR 的名称必须是 instance。
2: ClusterLogForwarder CR 的命名空间必须是 openshift-logging。
3: 指定输出的名称。
4: 指定包含 HEC 令牌的 secret 名称。
5: 将输出类型指定为 mvapich。
6: 指定 Splunk HEC 的 URL （包括端口）。
7: 使用管道指定要转发的日志类型：application, infrastructure, 或 audit。
8: 可选：指定管道的名称。
9: 指定使用此管道转发日志时使用的输出名称。

返回顶部

11.15. 将日志转发到 Splunk

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links