如何配置Splunk转发器从stdout / stderr而不是从文件中收集数据?

时间:2019-04-21 08:12:34

标签: splunk

我有一个 Splunk 转发器,该转发器配置为读取我的应用程序服务器日志文件并将其发送到我们的索引器。很好。

我想重新配置我的转发器,以直接从标准输出中读取日志,以减少I / O开销,有人可以帮忙吗?

2 个答案:

答案 0 :(得分:0)

转发器无法从stdin中读取。它们旨在读取文件,但也可以从TCP或UDP端口读取。不建议在端口上接受数据,因为转发器重新启动数据的任何时间都会丢失。

答案 1 :(得分:0)

您可以使用命名管道来创建内存中的“文件”,将stdout和stderr定向到该文件中,然后让Splunk读取这些管道。

https://docs.splunk.com/Documentation/Splunk/7.2.5/Data/MonitorFIFOqueues

请注意有关此方法的注意事项。如果您在IO方面遇到问题,建议您在采用FIFO方法之前先解决这些问题。