Collect logs with the Collector for Linux 🔗
Use the Universal Forwarder to send logs to the Splunk platform. See more at Collector で Splunk Universal Forwarder を使用する.
Fluentd is turned off by default. If you already installed Fluentd on a host, re-install the Collector without Fluentd using the --without-fluentd
option.
Collect Linux logs with Fluentd 🔗
If you want to collect logs for the target host with Fluentd, use the --with-fluentd
option to also install Fluentd when installing the Collector. For example:
curl -sSL https://dl.signalfx.com/splunk-otel-collector.sh > /tmp/splunk-otel-collector.sh && \
sudo sh /tmp/splunk-otel-collector.sh --with-fluentd --realm $SPLUNK_REALM -- $SPLUNK_ACCESS_TOKEN
オンにすると、Fluentd サービスはデフォルトで、@SPLUNK
ラベルのログイベントを収集し、Collector に転送するように設定され、Collector は --realm <SPLUNK_REALM>
オプションで決定された HEC インジェスト・エンドポイントにこれらのイベントを送ります。例えば、https://ingest.<SPLUNK_REALM>.signalfx.com/v1/log
。
以下のFluentdプラグインもインストールされています:
Linuxの機能を有効にする
capng_c
。systemd ジャーナル・ログ収集用
fluent-plugin-systemd
。
さらに、Fluentd プラグインの前提条件として、以下の依存関係がインストールされます:
build-essential
libcap-ng0
libcap-ng-dev
pkg-config
開発ツール
libcap-ng
libcap-ng-devel
pkgconfig
以下のパラメータを指定して、カスタム Splunk HTTP Event Collector (HEC) エンドポイント URL にログイベントを送信するようにパッケージを設定できます:
--hec-url <URL>
--hec-token <TOKEN>
HEC を使用すると、HTTP および Secure HTTP (HTTPS) プロトコルを介して Splunk デプロイメントにデータとアプリケーションイベントを送信できます。HTTP Event Collector をセットアップして使用する を参照してください。
主な Fluentd の設定は /etc/otel/collector/fluentd/fluent.conf
にインストールされます。カスタム Fluentd ソース設定ファイルは、インストール後に /etc/otel/collector/fluentd/conf.d
ディレクトリに追加できます。
次のことに注意してください:
このディレクトリでは、.conf という拡張子を持つすべてのファイルが、Fluentd によって自動的に包含されます。
td-agentユーザーは、コンフィギュレーションファイルとその中に定義されたパスにアクセスする権限を持っていなければなりません。
デフォルトでは、Fluentd は systemd ジャーナルログイベントを
/var/log/journal
から収集するように設定されています。
設定を変更したら、sudo systemctl restart td-agent
を実行して td-agent サービスを再起動します。
初回インストール後にtd-agentパッケージがアップグレードされた場合、td-agentバージョン4.1以降では、以下の手順で新しいバージョンのLinux機能を設定する必要がある可能性があります。:
アクティブにされた機能をチェックします:
sudo /opt/td-agent/bin/fluent-cap-ctl --get -f /opt/td-agent/bin/ruby Capabilities in `` /opt/td-agent/bin/ruby`` , Effective: dac_override, dac_read_search Inheritable: dac_override, dac_read_search Permitted: dac_override, dac_read_search
先のコマンドの出力に、上記のように
dac_override
とdac_read_search
が含まれていない場合は、以下のコマンドを実行します:sudo td-agent-gem install capng_c sudo /opt/td-agent/bin/fluent-cap-ctl --add "dac_override,dac_read_search" -f /opt/td-agent/bin/ruby sudo systemctl daemon-reload sudo systemctl restart td-agent