在 Springboot 和 Docker 中配置 Splunk答案

【问题标题】：Configure Splunk in Springboot and Docker在 Springboot 和 Docker 中配置 Splunk
【发布时间】：2021-07-26 20:18:53
【问题描述】：

我对网上找到的解决方案有点困惑。我需要将已写入文件的应用程序日志发送到我组织中托管的 Splunk 服务器。我该怎么做？

根据我目前所学到的 - 我可以使用 Splunk 通用转发器 来实现这一点。运行指向 Splunk 托管服务器的 Splunk 通用转发器 Docker 实例是否正确？请确认。如果是，我如何将主机/端口传递给容器？它是使用下面的 env 参数传递的吗？

这些只是我的观察和假设。如果我错了，请纠正我，或者请建议是否有更好的方法来实现这一点。

所有示例都建议运行 Splunk 和通用转发器容器。我无法找到有关如何连接到外部 Splunk 服务器的示例。因此，任何示例，sn-ps 都会非常有帮助。

【问题讨论】：

【解决方案1】：

首先，Splunk Universal Forwarder 是一个独立的应用程序，其全部工作就是将数据发送到 Splunk Enterprise（或云）。

没有必要通过将简单、轻量级的实用程序嵌入到 Docker 容器中来使安装变得复杂 - 除非且仅当您需要将 UF 置于容器中 以读取其中的日志。

您遵循了UF install guide 中的哪些步骤？

你说你“对网上找到的解决方案有点困惑”。你有什么困惑？您在网上找到了哪些“解决方案”？

【讨论】：

我很困惑是选择 UF 还是 SpringIntegration。如果我必须使用 SI，我将不得不配置适配器，然后手动创建事件并将其发送到 Splunk Enterprise，这对开发人员来说是一笔开销，我觉得。所以认为用友会是一个更好的选择。
这是针对使用 SpringBoot 和 Docker 的微服务项目。因此想到在 Docker 容器中运行一个 UF，它会读取日志并将其转发到本地托管的 Splunk Enterprise。也就是说，我想知道是否可以使用上述 ENV 参数来传递主机和端口。我没有在 Splunk 上工作过。请分享您的想法。
@continuousLearner - 这可能更适合使用HTTP Event Collector (HEC)
当然，我会探索 HEC 并回来。谢谢