splunk的日志被截断
splunk的日志被截断
提问于 2020-09-16 05:13:30
我使用fluentd将Kubernetes pod日志转发到splunk,但在splunk中,我无法看到完整长度的pod日志,因为它们被截断了。例如,我们有一个74286个字符的单行日志,但是splunk只显示了16385个字符。我能做些什么来克服这个问题?
这是我在fluentd configmap中配置的方法。
<match **>
@id splunk
@type splunk-hec
@log_level info
server "#{ENV['FLUENT_SPLUNK_HOST']}"
protocol https
verify false
host "#{ENV['CLUSTER_NAME']}_#{ENV['NODE_NAME']}"
token "#{ENV['FLUENT_SPLUNK_TOKEN']}"
index "#{ENV['SPLUNK_INDEX']}"
buffer_type memory
buffer_queue_limit 256
buffer_chunk_limit 8m
batch_size_limit 8000000
flush_interval 1s
</match>回答 1
Stack Overflow用户
发布于 2020-09-16 07:03:27
默认情况下,Splunk应该截断10,000个字符。您可以在props.conf文件中对其进行更改。
[mysourcetype]
TRUNCATE = 75000这是对其他“魔术”6设置的补充:TIME_PREFIX、TIME_FORMAT、MAX_TIMESTAMP_LOOKAHEAD、SHOULD_LINEMERGE和LINE_BREAKER。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/63909930
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号