kubernetes - 如何配置默认的 splunk-kubernetes-logging 规则?
问题描述
我正在尝试在 Splunk 中为 Kubernetes pod 配置多行日志记录(我希望堆栈跟踪显示在单个事件中,而不是在每行中拆分为多个事件)。
通过像这样配置我们的splunk-kubernetes-logging values.yaml,我取得了一些成功:
my-app:
from:
pod: "my-app-*"
multiline:
firstline: /^\d{4}\-\d{2}\-\d{2} \d{2}\:\d{2}\:\d{2}[\.\,]\d{3}/
这行得通,但我不想在每次部署应用程序时都在 yaml 中指定一个部分。所以我希望可能有一种方法可以有一个可覆盖的默认值,为此我尝试了这个:
default-app:
from:
pod: "*"
multiline:
firstline: /^\d{4}\-\d{2}\-\d{2} \d{2}\:\d{2}\:\d{2}[\.\,]\d{3}/
但这没有任何效果。我为 pod 名称尝试了一些其他通配符(如"*-*"),但没有任何效果。我不明白为什么有些通配符有效("my-app-*")而其他通配符无效("*")。有没有办法实现我想要实现的目标?
解决方案
推荐阅读
- sas - 根据有效性范围聚合多个观察值
- reactjs - Material-UI + TypeScript(在“ClassNameMap<“container”|“navBar”|“section0”类型上找不到带有“string”类型参数的索引签名。)
- java - 将一维数组格式化为表格时遇到问题
- memory - 操作系统是否检查每条指令?
- r - 用多个箱线图制作一个图,但以列作为因素
- .net - 将日期从 Azure 表存储转换回用户的时区
- sql - 如何在 Oracle 中插入额外的可变数组记录?
- python - Flask-Security:如何获取/列出/打印给定用户的所有角色
- javascript - 为什么我的标头组件已定义但从未在我的测试中使用?
- javascript - 如何通过 JavaScript/Lodash 中的重复键深度合并两个集合?