Как я могу надежно получить журналы из Event Hub в Splunk

Question

Я хочу гарантировать доставку сообщений из Event Hub в Splunk без дубликатов

Я изучал использование функций Azure, потому что мне нравится его безсерверный аспект, но кажется, что функции Azure развивают концентратор событий. контрольная точка, даже если функция завершается с ошибками. Это может привести к потере сообщений, если наш экземпляр Splunk будет недоступен в течение продолжительного периода времени (обновления API или другие непредвиденные проблемы). Политика повторных попыток при срабатывании функции Azure для событий Event Hub также не представляется настраиваемой

Существуют ли другие решения для надежной передачи сообщений в Event Hub в Splunk?

Answer 1

Похоже, что есть 2 метода от Microsoft для сбора данных Azure в Splunk

https://github.com/Microsoft/AzureFunctionforSplunkVS

Этот параметр интегрируется с функциями Azure и, как вы упомянули, может иметь проблемы со сбоямии повторные попытки.

https://github.com/Microsoft/AzureMonitorAddonForSplunk

Похоже, что этот параметр использует механизм извлечения, который должен избежать проблемы со сбоями и завершает работу. Однако существует риск того, что если надстройка не будет работать в течение значительного периода времени, данные могут переместиться, и вы рискуете пропустить данные таким образом.