Мы пытаемся настроить наш кластер Kubernetes с подключением Spunk для подключения к Kubernetes (https://github.com/splunk/splunk-connect-for-kubernetes). Мы видим, что события отправляются в индексатор, и все работает, как ожидалось.
Конфигурация соединения Spunk по умолчанию либо конфигурирует тип источника событий как kube: container: [имя-контейнера], либо вы можете переопределить тип источника с помощью аннотаций k8s. Наш модуль содержит журналы, созданные log4j, поэтому мы хотели бы использовать этот тип источника. Когда мы пытаемся настроить аннотацию на модуле как splunk.com/sourcetype = log4j, он меняет исходный тип на kube: log4j, что ожидается на основании документации. Мы хотим иметь возможность автоматически форматировать событие с использованием предварительно обученного исходного типа log4j.
Есть ли способ отобразить пользовательский тип источника в splunk, например, kube: container: [container-name], чтобы отформатировать как log4j? автоматически? Является ли наша единственная возможность изменить конфигурацию фильтра fluentd в файле конфигурации splunk connect?