Как настроить Splunk forwarder для сбора данных из stdout / stderr, а не из файлов?

Question

У меня есть перенаправитель Splunk , настроенный для чтения файлов журнала моего сервера приложений и отправки их нашему индексатору. Это прекрасно работает.

Я бы хотел перенастроить мой сервер пересылки так, чтобы он считывал мои журналы напрямую со стандартного вывода, чтобы уменьшить накладные расходы ввода-вывода. Может ли кто-нибудь помочь с этим, пожалуйста?

Answer 1

Вы можете использовать именованные каналы для создания «файла» в памяти, к которому вы можете направить stdout и stderr, а затем Splunk прочитать эти каналы.

https://docs.splunk.com/Documentation/Splunk/7.2.5/Data/MonitorFIFOqueues

Обратите внимание на предостережения относительно этого подхода.Если у вас есть проблемы с IO, я бы посоветовал вам сначала решить эти проблемы, прежде чем прибегать к подходам FIFO.

Answer 2

Экспедиторы не могут читать со стандартного ввода. Они предназначены для чтения файлов, а также для чтения с портов TCP или UDP. Принятие данных через порт не рекомендуется, потому что каждый раз, когда перезапуск пересылает данные, теряется.