我们正在运行 Openshift Container Platform 3.4.1。它使用 RedHat 提供的 EFK 聚合日志记录解决方案来记录到 Elastic Search。我们还启用了到 Splunk 的安全转发器。Splunk 是我们的战略日志记录解决方案,因此我们只希望将日志发送到那里。
我们也遇到过 ES 出现问题,日志不再转发到 Splunk 的情况。
我会考虑构建一个独立的 Fluentd 解决方案(发送到 Splunk),但我们的用户现在熟悉聚合日志记录丰富数据的方式,我认为独立的 FluentD 容器不会这样做。
有谁知道是否可以修改聚合日志记录,使其根本不发送到 ES,而只使用安全转发器将数据发送到 Splunk?或者,放弃聚合日志,并使用标准 FluentD 安装,同时保持聚合日志提供的丰富性?
顺便说一句 - 这只是我使用 Openshift 的第二周,所以如果这是一个模糊或糟糕的问题,我们深表歉意 :) 谢谢 M