Collectd не входит в Splunk

У меня есть экземпляр aws, на котором я установил collectd. Я могу CURL с экземпляра на свой сервер splunk и помещать сообщения, чтобы не было никаких проблем с сетью. Я использую ту же конечную точку и токен, что и в моей конфигурации collectd.

Когда я перезапускаю службу collectd, я не получаю ошибок:

Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "syslog" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "cpu" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "load" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "memory" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "interface" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "write_http" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "network" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "rrdtool" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: Initialization complete, entering read-loop.

Однако, когда я просматриваю splunk, журналов нет.

Я исхожу из того, что collectd действует и как клиент, и как сервер (в одном и том же экземпляре).

Файлы журнала находятся в папке /var/lib/collectd/rrd/localhost/. Просто не уверен, почему они не переходят оттуда в splunk.

Я уверен, что это что-то основное, что я пропустил.

Ваше здоровье


linux logging token splunk collectd
person user1653631    schedule 10.11.2017    source источник
comment
Вы загружаете три подключаемых модуля вывода collectd (write_http, network и rrdtool), но, насколько я понимаю, collectd игнорирует все подключаемые модули вывода, кроме загруженного первого. Может ли это быть проблемой?   -  person Urhixidur    schedule 13.12.2017

Ответы (2)


arrow_upward
0
arrow_downward

Splunk прослушивает порт по умолчанию 9997? Что говорит /opt/splunk/var/log/splunk/splunk.log? Можете ли вы сделать telnet с сервера журналов на сервер splunk через порт 9997? Вы перезапустили splunkd после настройки файлов inputs/outputs.conf? Можете ли вы вставить файлы input/output.conf?

person skoelpin    schedule 10.11.2017
comment
Спасибо за сообщение skoelpin. Да, если вы прочитаете мою вторую строку, вы увидите, что я могу передавать сообщения splunk в splunk из этого экземпляра, поэтому там нет проблем. Я использую ту же конечную точку и порты с моим тестовым сообщением, что и в моем файле конфигурации. Я также перезапустил collectd после установки параметров конфигурации. Сегодня я не на работе, но вставлю файл collectd.conf, когда вернусь. Кажется, все работает, за исключением того, что журналы не отправляются в splunk. Как показано выше, в var/log/messages нет ошибок. Cheerios - person user1653631; 11.11.2017

arrow_upward
0
arrow_downward

Ответ заключается в том, что URL-адрес должен иметь токен не только в заголовках, но и в качестве параметра.

Просто замените:

`URL "https://myurl.com:8088/services/collector"

Header "Authorization: Splunk {{splunk_token}}"`

С:

`URL "https://myurl.com:8088/services/collector/raw?channel={{splunk_token}}"

Header "Authorization: Splunk {{splunk_token}}"`
person user1653631    schedule 15.11.2017