Как мне переименовать / повторно пометить поля, отображаемые в splunk, которые пересылаются из стандартного вывода докера через fluentd. Я учусь этому бегло и отмахиваюсь, и я новичок во всем этом.
В настоящее время я обновляю файл fluent.conf с помощью правил rewrite_tag_filter, чтобы искать шаблон в поле «container_name» с другими тегами. Попробовал добавить вокруг нормальных разделов и обновить до конкретных @INPUT и @OUTPUT. Но ни одно из моих обновлений fluent.conf не отображается в интерфейсе splunk.
Вот мои разные попытки, которые были добавлены в файл fluent.conf.
1-я попытка проверить "переименование" контейнера в s1test
<match container_name>
@type rewrite_tag_filter
<rule>
key container_name
pattern (.+)
tag s1test
</rule>
</match>
2-я попытка
<match docker.*>
@type rewrite_tag_filter
rewriterule1 container_name ^\/s1_(.)$ s1.$1
</match>
3-я попытка, после просмотра журналов fluentd и показа устаревшей ошибки для использования rewriterule1 и необходимости использования вместо этого. Кроме того, добавил, как я думал, поскольку это стандартный вывод из докера, это позволило бы ему «распознать» журнал для сопоставления с образцом и переименования.
<label @INPUT>
<match container_name>
@type rewrite_tag_filter
<rule>
key container_name
pattern ^\/s1_(.*)$
tag service.test
</rule>
@label @OUTPUT
</match>
</label>
<label @OUTPUT>
<match service.test>
@type stdout
</match>
</label>
В настоящее время в поле имя_компьютера отображаются переменные, начинающиеся с
/s1_api.1. и заканчивается в казавшейся случайной цепочке символов.
Цель состоит в том, чтобы упростить вывод, чтобы соглашение об именах для поля «container_name» отображалось только для самой службы, в идеале просто для отображения одной службы, работающей в контейнере, например (api, fluentd, db и т. Д.) ,
Журналы Fluentd показали это
2019-01-14 22:17:20 +0000 [info]: adding match
pattern="container_name" type="rewrite_tag_filter"
2019-01-14 22:17:20 +0000 [warn]: rewrite_tag_filter: [DEPRECATED]
Use <rule> section instead of rewriterule1
2019-01-14 22:17:20 +0000 [info]: adding rewrite_tag_filter rule:
rewriterule1 ["container_name", /^\/test_(.)$/, "", "s1.$1"]