我需要将Rails应用程序日志(严格地错误和警告)发送给HttpEventCollector。我正在使用FluentPluginSplunkHEC(https://github.com/splunk/fluent-plugin-splunk-hec).I使用以下配置来发送日志,
<source>
@type tail
path /path/to/file/folder/log/development.log
pos_file /path/to/file/folder/log/development.log.pos
<parse>
@type multiline
format_firstline /^Started/
format1 /Started (?<method>[^ ]+) "(?<path>[^"]+)" for (?<host>[^ ]+) at (?<time>[^ ]+ [^ ]+ [^ ]+)\n/
format2 /Processing by (?<controller>[^\u0023]+)\u0023(?<controller_method>[^ ]+) as (?<format>[^ ]+?)\n/
format3 /( Parameters: (?<parameters>[^ ]+)\n)?/
format4 / Rendered (?<template>[^ ]+) within (?<layout>.+) \([\d\.]+ms\)\n/
format5 /Completed (?<code>[^ ]+) [^ ]+ in (?<runtime>[\d\.]+)ms \(Views: (?<view_runtime>[\d\.]+)ms \| ActiveRecord: (?<ar_runtime>[\d\.]+)ms\)/
</parse>
tag development.log
</source>
<match *.log>
@type splunk_hec
hec_host ********
hec_port ****
hec_token *********
index *******
sourcetype *******
insecure_ssl true
<buffer>
flush_interval 10s
</buffer>
但是我不断得到以下信息:[警告] # 0个模式不匹配:
这是示例日志文件内容
GET https://Url:443/v2/threads.json?count=15&folder_id=11389995&sortby=date_updated&sortorder=descending&start=0
--> 200 OK 649 (3258.5ms)
GET https://URl:443/v2/mailboxes.json?external_id=546d5dca-2f65-4397-84eb-eded136c1be1
--> 200 OK 1239 (1887.2ms)
我尝试了不同的匹配条件,但仍然无法弄清为什么它无法发送。 而且如果有人还可以帮助我了解标记的角色以及它们在match指令方面的工作原理,那将真的很有帮助。