Можно ли программно установить тип источника в качестве пространства имен, из которого были созданы журналы? Я использую плагин fluentd для отправки данных в сборщик событий http Splunk. В других местах было рекомендовано использовать $ {record ['kubernetes'] ['namespace_name'], чтобы задать имя индекса в качестве имени пространства имен. Когда я делаю это для sourcetype, этот фактический текст просто отображается в Splunk, а не переводится в конкретные имена пространств имен.
@include systemd.conf
@include kubernetes.conf
<match kubernetes.var.log.containers.fluentd**>
type null
</match>
<match **>
type splunk-http-eventcollector
all_items true
server host:port
token ****
index kubernetes
protocol https
verify false
sourcetype ${record['kubernetes']['namespace_name']
source kubernetes
buffer_type memory
buffer_queue_limit 16
chunk_limit_size 8m
buffer_chunk_limit 150k
flush_interval 5s
</match>