ECS Splunk 日志被 splunk-format raw 截断
Posted
技术标签:
【中文标题】ECS Splunk 日志被 splunk-format raw 截断【英文标题】:ECS Splunk logs truncated with splunk-format raw 【发布时间】:2022-01-18 19:58:34 【问题描述】:我有一个AWS ECS Cluster,并在任务定义中配置了Splunk 日志记录和splunk-format: raw,如下所示:
"logConfiguration":
"logDriver": "splunk",
"secretOptions": [
"valueFrom": "myarn",
"name": "splunk-token"
],
"options":
"splunk-url": "my-splunk-url",
"splunk-source": "my-splunk-source",
"splunk-format": "raw"
我在 Splunk 中的所有仪表板都需要这种格式。该消息在4kb 处被截断。将格式更改为 inline 不会截断消息,但使用这种新格式需要在 Splunk 仪表板中进行大量返工。
有没有办法让它与splunk-format: raw 一起工作而不会截断消息?
【问题讨论】:
【参考方案1】:尝试通过任务定义中配置的环境变量SPLUNK_LOGGING_DRIVER_CHANNEL_SIZE来增加通道大小
根据文档,4kb 似乎是默认大小 https://docs.docker.com/config/containers/logging/splunk/
【讨论】:
以上是关于ECS Splunk 日志被 splunk-format raw 截断的主要内容,如果未能解决你的问题,请参考以下文章