У меня есть сервер пересылки Splunk, настроенный на чтение файлов журнала сервера приложений и отправку их нашему индексатору. Это прекрасно работает.
Я хотел бы перенастроить свой сервер пересылки для чтения моих журналов непосредственно из стандартного вывода, чтобы уменьшить накладные расходы на ввод-вывод, может ли кто-нибудь помочь с этим?
Форвардеры не могут читать со стандартного ввода. Они предназначены для чтения файлов, а также чтения из портов TCP или UDP. Принимать данные через порт не рекомендуется, поскольку при каждом перезапуске сервера пересылки данные теряются.
Вы можете использовать именованные каналы для создания «файла» в памяти, на который вы можете направить stdout и stderr, а затем заставить Splunk прочитать эти каналы.
https://docs.splunk.com/Documentation/Splunk/7.2.5/Data/MonitorFIFOqueues
Обратите внимание на оговорки вокруг этого подхода. Если у вас возникли проблемы с вводом-выводом, я бы посоветовал вам сначала решить эту проблему, прежде чем прибегать к подходам FIFO.
