是否可以以编程方式将sourcetype设置为生成日志的命名空间?我使用流畅的插件将数据发送到Splunk http事件收集器。在其他地方,建议使用$ {record [' kubernetes'] [' namespace_name']将索引名称设置为命名空间名称。当我为sourcetype执行此操作时,实际文本只显示在Splunk中而不是转换为特定的命名空间名称。
@include systemd.conf
@include kubernetes.conf
<match kubernetes.var.log.containers.fluentd**>
type null
</match>
<match **>
type splunk-http-eventcollector
all_items true
server host:port
token ****
index kubernetes
protocol https
verify false
sourcetype ${record['kubernetes']['namespace_name']
source kubernetes
buffer_type memory
buffer_queue_limit 16
chunk_limit_size 8m
buffer_chunk_limit 150k
flush_interval 5s
</match>