Блог

Главная - Вопросы по программированию - Как изменить форматирование Splunk Forwarder моих журналов?

Как изменить форматирование Splunk Forwarder моих журналов?

#splunk

#splunk

Вопрос:

Я использую Splunk forawarder нашего предприятия, который, похоже, регистрирует события в splunk подобным образом, что немного затрудняет чтение журналов splunk.

 {"log":"[https-jsse-nio-8443-exec-5] 19 Jan 2021 15:30:57,237 0000 UTC INFO rdt.damien.services.CaseServiceImpl CaseServiceImpl :: showCase :: Case Created n","stream":"stdout","time":"2021-01-19T15:30:57.24005568Z"}

Тем не менее, в нашем дочернем предприятии есть разные организации, которые регистрируют splunks, что делает его гораздо более читаемым. (Между нами и ними нет связи в области технологий, поэтому мы не можем использовать их техническую поддержку для сортировки этого)

 [http-nio-8443-exec-7] 15 Jan 2021 21:08:49,511 0000 INFO  DaoOImpl [{applicationSystemCode=dao-app, userId=ANONYMOUS, webAnalyticsCorrelationId=|}]: This is a sample log

Пожалуйста, обратите внимание на разницу в журналах (мои и другие):

{«log»:»[https-jsse-nio-8443-exec-5]..

против

[http-nio-8443-exec-7]…

Наша корпоративная команда пытается определить, что является причиной этого. Я проверил свой app.log, который выглядит нормально (зарегистрирован с использованием Log4J) и не содержит вышеупомянутой {"log" :...} записи.

[https-jsse-nio-8443-exec-5] 19 января 2021 15:30:57,237 0000 UTC INFO rdt.damien.services.CaseServiceImpl CaseServiceImpl:: showCase :: Создан случай

Может ли кто-нибудь подсказать мне, в чем может заключаться проблема / конфигурация, из-за которой Splunk Forwarder отправляет журналы с {"log":... форматом в splunk? Я думал, что это как-то связано с типом JSON против RAW, который я тоже не понимаю, является ли это причиной, и если да, то какие конфигурации приводят к этому?

Ответ №1:

В ходе расследования я обнаружил, что это делает не SPLUNK, а скорее контейнер docker. Контейнер docker по умолчанию json-file записывает выходные данные в /var/lib/docker/containers папку с **-json постфиксом, который содержит журналы в формате `{«log»: <ИМЯ СОБЫТИЯ}.

Мне нужно выяснить, как исправить ведение журнала docker (он же драйвер ведения журнала docker) для записи в формате, отличном от json.

Метки: