1.9. 将日志转发到 Splunk

流程

1. 使用您的 Base64 编码的 Splunk HEC 令牌创建 secret。

   $ oc -n openshift-logging create secret generic vector-splunk-secret --from-literal hecToken=<HEC_Token>

   Copy to Clipboard Toggle word wrap

2. 使用以下模板创建或编辑 ClusterLogForwarder 自定义资源 (CR)：

   apiVersion: observability.openshift.io/v1
   kind: ClusterLogForwarder
   metadata:
     name: <log_forwarder_name>
     namespace: openshift-logging
   spec:
     serviceAccount:
       name: <service_account_name> 

   1

   
     outputs:
       - name: splunk-receiver 

   2

   
         type: splunk 

   3

   
         splunk:
           url: '<http://your.splunk.hec.url:8088>' 

   4

   
           authentication:
             token:
               secretName: splunk-secret
               key: hecToken 

   5

   
           index: '{.log_type||"undefined"}' 

   6

   
           source: '{.log_source||"undefined"}' 

   7

   
           indexedFields: ['.log_type', '.log_source'] 

   8

   
           payloadKey: '.kubernetes' 

   9

   
           tuning:
               compression: gzip 

   10

   
     pipelines:
       - name: my-logs
         inputRefs: 

   11

   
           - application
           - infrastructure
         outputRefs:
           - splunk-receiver 

   12

   Copy to Clipboard Toggle word wrap

   1

   服务帐户的名称。

   2

   指定输出的名称。

   3

   将输出类型指定为 mvapich。

   5

   指定包含 HEC 令牌的 secret 名称。

   4

   指定包括 Splunk HEC 的 URL，包括端口。

   6

   指定要将事件发送到的索引名称。如果没有指定索引，则使用 mvapich 服务器配置的默认索引。这是可选字段。

   7

   指定要发送到此 sink 的事件源。您可以配置动态每个事件值。此字段是可选的。

   8

   指定要添加到 Splunk 索引中的字段。此字段是可选的。

   9

   指定要用作有效负载的记录字段。此字段是可选的。

   10

   指定压缩配置，可以是 gzip 或 none。默认值为 none。此字段是可选的。

   11

   指定输入名称。

   12

   指定使用此管道转发日志时使用的输出名称。