PutSplunk
描述:
通过TCP,TCP+TLS/SSL,或者UDP向Splunk Enterprise发送logs。如果指定了消息分隔符,则该组件实例会从前置流文件中按照该分隔符来读取消息,并向每条消息发送给Splunk。如果没指定分隔符,则前置流文件的内容将作为单条消息直接发送给Splunk。
标签:
splunk, logs, tcp, udp
参数:
如下列表中,必填参数则标识为加粗. 其他未加粗参数,则表示为可选参数。表中同时提到参数默认值设置, 并且 参数还支持 表达式语言.
| 名字 | 默认值 | 允许值列表 | 描述 |
|---|---|---|---|
| 主机名称或IP地址 | localhost | 目标Splunk的IP地址或主机名称。 支持表达式语言 (仅支持变量) | |
| 端口号 | 目标Splunk的端口号。 支持表达式语言 (仅支持变量) | ||
| 套接字的最大发送缓存 | 1 MB | 指定应使用的套接字发送缓冲区的最大值。这是向操作系统提出的建议, 以指示套接字缓冲区的大小。如果此值设置得太低, 则缓冲区可能会在读取数据之前填满, 并且传入的数据将被删除。 | |
| 空闲连接的过期时间 | 5 seconds | 指定关闭连接前的最大等待时间,来保持未被使用的连接状态。 | |
| 连接超时 | 10 seconds | 用于连接到目标并与目标通信的超时时间。不适用于UDP | |
| 字符编码 | UTF-8 | 指定发送数据的字符集编码 | |
| 协议 | TCP | - TCP - UDP | 通信协议 |
| 消息分隔符 | 指定用于分隔前置流文件内容的分隔符。1. 如果没指定,整个流文件的内容将被当做一条消息来发送给Splunk。2. 如果指定了分隔符,流文件的内容将会按照指定的分隔符被分隔成对应的内容块,并且每部分的内容块会被单独的作为一条消息来发送给Splunk。注意: 当流文件内容被分隔成多条消息后,被成功发送的消息都会流向'成功'关联,而发送失败的消息会被路由到'失败'关联。 支持表达式语言 (支持流属性和变量) | ||
| SSL服务 | 控制器服务API: SSLContextService 实现: StandardRestrictedSSLContextService StandardSSLContextService | 如果目标Splunk是基于TCP + TLS/SSL通讯的,则需要配置该SSL上下文服务(共享资源)让组件获取SSL相关的上下文信息。如果配置了该项,则消息将发送在安全连接上。 |
连线:
| 名字 | 描述 |
|---|---|
| success | '成功'关联,发送成功的流文件的会被路由到该关联。 |
| failure | '失败'关联,发送失败的流文件的会被路由到该关联。 |
读取属性:
未提供。
写入属性:
未提供。
状态管理:
该组件不保存状态。
限制:
该组件没有限制
输入流要求:
组件必须提供输入流。
系统资源考量:
未提供。