如何解决如何更改我的日志的 Splunk 转发器格式?
我正在使用我们 Enterprise 的 Splunk forawarder,它似乎像这样在 splunk 中记录事件,这使得读取 splunk 日志有点困难。
{"log":"[https-jsse-nio-8443-exec-5] 19 Jan 2021 15:30:57,237+0000 UTC INFO rdt.damien.services.CaseServiceImpl CaseServiceImpl :: showCase :: Case Created \n","stream":"stdout","time":"2021-01-19T15:30:57.24005568Z"}
但是,我们的兄弟企业中有不同的组织记录 splunk,因此更具可读性。 (我们和他们在技术上没有关系,因此无法利用他们的技术支持来分类)
[http-nio-8443-exec-7] 15 Jan 2021 21:08:49,511+0000 INFO DaoOImpl [{applicationSystemCode=dao-app,userId=ANONYMOUS,webAnalyticsCorrelationId=|}]: This is a sample log
请注意日志的区别(我的和其他的):
{"log":"[https-jsse-nio-8443-exec-5]..
对比
[http-nio-8443-exec-7]...
我们的企业团队正在努力确定导致这种情况的原因。我检查了我的 app.log,它看起来不错(使用 Log4J 记录)并且没有前面提到的 {"log" :...} 条目。
[https-jsse-nio-8443-exec-5] 2021 年 1 月 19 日 15:30:57,237+0000 UTC 信息 rdt.damien.services.CaseServiceImpl CaseServiceImpl::showCase::Case 已创建
有人可以指导我了解导致 Splunk Forwarder 将 {"log":... 格式的日志发送到 splunk 的问题/配置在哪里吗?我认为这与 JSON 类型与 RAW 有关,我也不明白这是否是原因,如果是 - 是什么配置驱动的?
解决方法
在调查过程中 - 我发现这样做的不是 SPLUNK,而是 docker 容器。 docker 容器默认为 r,它使用 json-file 后缀将输出写入 /var/lib/docker/containers 文件夹,后缀包含 `{"log" :
我需要弄清楚如何修复 docker 日志记录(也称为 docker 日志记录驱动程序)以非 json 格式编写。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。