个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我对 Kubernetes 还很陌生,没有任何实践经验。
我的团队面临着关于 
kubernetes 推送的日志格式的问题至 splunk .
{"logname" : "app-log", "level" : "INFO"}
{
"log" : "{\"logname\": \"app-log\", \"level\": \"INFO \"}",
"stream" : "stdout",
"time" : "2018-06-01T23:33:26.556356926Z"
}
这种格式使 Splunk 中基于属性的查询变得更加困难。
Kubernetes 中是否有任何选项可以从应用程序转发原始日志,而不是分组到另一个 json 中?
我遇到了 this在 Splunk 中发布,但配置是在 Splunk 端完成的
如果我们可以从 Kubernetes 端选择从应用程序发送原始日志,请告诉我
最佳答案
Kubernetes 架构提供了三种收集日志的方式:
<强>1。使用在每个节点上运行的节点级日志记录代理。
您可以通过在每个节点上包含节点级日志记录代理来实现集群级日志记录。日志代理是一个专门的工具,用于暴露日志或将日志推送到后端。通常,日志记录代理是一个容器,它可以访问一个目录,该目录包含来自该节点上所有应用程序容器的日志文件。
日志格式取决于 Docker 设置。您需要在每个节点的/etc/docker/daemon.json中设置log-driver参数。
例如,
{
"log-driver": "syslog"
}
或
{
"log-driver": "json-file"
}
有关更多选项,请查看 link
<强>2。包含一个专用的 sidecar 容器,用于登录应用程序 pod。
您可以通过以下方式之一使用边车容器:
通过让您的 sidecar 容器流式传输到它们自己的 stdout 和 stderr 流,您可以利用已在每个节点上运行的 kubelet 和日志记录代理。 sidecar 容器从文件、套接字或日志中读取日志。每个单独的 sidecar 容器将日志打印到它自己的 stdout 或 stderr 流。
<强>3。从应用程序内将日志直接推送到后端。
您可以通过直接从每个应用程序公开或推送日志来实现集群级别的日志记录。
更多信息可以查看official documentation Kubernetes
关于kubernetes - 将日志从 kubernetes 转发到 splunk,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50639744/
24
4
0
我想在 splunk 中使用查询,提取字段列表,然后使用这些结果字段进一步过滤我后续的 splunk 查询。我该怎么做? 最佳答案 FORMAT 命令对此特别有用。这是一个过于简单的示例,但应该让您了
我需要找到两个事件之间的持续时间。我在 splunk 上查看了解决方案和 Stack Overflow,但仍然无法得到计算结果。 sentToSave 和 SaveDoc 都已格式化时间戳,这就是我使
我需要找到两个事件之间的持续时间。我在 splunk 上查看了解决方案和 Stack Overflow,但仍然无法得到计算结果。 sentToSave 和 SaveDoc 都已格式化时间戳,这就是我使
我正在尝试将来自两个不同日志的信息合并到一个查询中,但我不确定如何或是否可以做到这一点。本质上我想这样做: LOG 1: LOG 2: fooid=1234 speed=500 fooid=54
在不提取字段的情况下,我想搜索不包含“country=$”的任何事件,即事件不得以“country=”结尾。我可以将其正则表达式为“country=(?!$)”,但这仍然需要国家/地区出现在事件中,这
我有一个用例,我想根据条件将值设置为一个变量,并在搜索命令中使用该变量。 例子:-我要检查条件 if account_no=818 then var1="vpc-06b" el
我们在一个 Splunk 查询中使用了 ifnull 函数(是的,ifnull 而不是 isnull),我想看看只是为了确定逻辑,但我无法在任何地方找到它的记录。 是referenced in a f
我正在尝试在 Splunk 中创建一个表,其中包含提取的多个字段以及当我向 Splunk 提供要搜索的字符串时返回的条目总数。我遇到的问题是,当我使用 stats 命令获取返回结果的计数并将其通过管道
我想知道是否有人可以帮助我。 我发表了以下关于我正在尝试编写的 Splunk 查询的帖子: https://answers.splunk.com/answers/724223/in-a-table-p
我正在尝试在 Splunk 中创建一个表,其中包含提取的多个字段以及当我向 Splunk 提供要搜索的字符串时返回的条目总数。我遇到的问题是,当我使用 stats 命令获取返回结果的计数并将其通过管道
我的日志中有以下几行: ...useremail=abc@fdsf.com id=1234 .... ...useremail=pqr@fdsf.com id=4565 .... ...userema
我正在尝试在 Splunk 中搜索在特定时间范围内发生的事件,但我希望该搜索包含我索引的所有数据,这些数据涵盖了广泛的日期范围。 例如,我想查看索引日志文件中的一行是否在我已索引的 25 天日志中的上
我正在使用 this Kubernetes 上的 Splunk 镜像(使用 minikube 进行本地测试)。 应用下面的代码后,我面临以下错误: ERROR: Couldn't read "/opt
我试图弄清楚为什么有人想要在 Splunk 中创建仪表板。 View 允许您添加表单以及任何图表和搜索,而仪表板则不允许。那么,我为什么要制作仪表板?一个比另一个有什么优势吗? 最佳答案 嗯.....
如何从搜索返回的 splunk 事件列表中获取特定 splunk 事件的 url? 如果这是不可能的,并且我需要创建一个只返回该事件的搜索,那么我可以在查询中使用的每个事件是否有一些唯一的 ID? 最
我有一个 Splunk 搜索字符串。如果我添加 earliest=10/05/2020:23:59:58,搜索字符串仍然有效。但是,如果我将其更改为 earliest=10/05/2020:23:59
我正在尝试使用 alpine:3.8 基础镜像创建一个 Splunk 通用转发器镜像。 FROM alpine:3.8 ENV SPLUNK_PRODUCT universalforwarder EN
我从 API 收到以下格式的 JSON: [ { "scId": "000DD2", "sensorId": 2, "metrics": [ {
我尝试编写一个 c# 程序,通过 serilog 记录器记录到 splunk。 我尝试设置 splunk 来监听日志记录。 全部在我的本地机器上运行。 我的猜测是我没有正确配置 Splunk。
有谁知道如何在 Splunk 中准确计算第 99.9 个百分位数? 我尝试了如下多种方法,例如 exactperc(但这只需要整数百分位数)和 perc(但这非常接近结果)。 base | stats
我是一名优秀的程序员,十分优秀!