如何解决散布的日志已被截断
我正在使用Fluentd将我的Kubernetes荚日志转发到splunk,但是在splunk中,由于它们被截断,所以我看不到荚日志的完整长度。例如,我们的单行日志长度为74286个字符,但splunk仅显示16385个字符。 我该怎么解决这个问题?
通过这种方式,我可以在流畅的configmap中进行配置。
<match **>
@id splunk
@type splunk-hec
@log_level info
server "#{ENV['FLUENT_SPLUNK_HOST']}"
protocol https
verify false
host "#{ENV['CLUSTER_NAME']}_#{ENV['NODE_NAME']}"
token "#{ENV['FLUENT_SPLUNK_TOKEN']}"
index "#{ENV['SPLUNK_INDEX']}"
buffer_type memory
buffer_queue_limit 256
buffer_chunk_limit 8m
batch_size_limit 8000000
flush_interval 1s
</match>
解决方法
默认情况下,Splunk应该截断10,000个字符。您可以在props.conf文件中进行更改。
[mysourcetype]
TRUNCATE = 75000
这将是“魔术” 6其余设置的补充:TIME_PREFIX
,TIME_FORMAT
,MAX_TIMESTAMP_LOOKAHEAD
,SHOULD_LINEMERGE
和LINE_BREAKER
。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。