Лимит символов в Splunk

Просто хотел бы спросить, есть ли ограничение на количество символов, когда fluentbit отправляет журналы в splunk? Как увеличить лимит символов с помощью веб-интерфейса Splunk?

splunk fluent-bit

14.11.2022 07:05

Стоит ли изучать PHP в 2026-2027 годах?

Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...

Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией

В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.

Приемы CSS-макетирования - floats и Flexbox

Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...

Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest

В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...

Концепция локализации и ее применение в приложениях React ⚡️

Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...

Пользовательский скаляр GraphQL

Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...

118

Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Это зависит от того, как данные отправляются в Splunk. Если он поступает через HEC, ограничение составляет 1 миллион байтов (не символов) и не может быть изменено. Если данные поступают через порт 9997, то они не имеют такого же ограничения, но будут усечены до 10 000 байт. Усечение может быть установлено для типа источника с помощью атрибута TRUNCATE в props.conf или в Настройки-> Типы источников.

Спасибо, что поделились. На самом деле я пытался настроить splunk с помощью HEC и использовал fluentbit для сбора журналов в модулях kubernetes. но я понял, что сообщение трассировки не может быть полностью загружено в splunk, оно усечено.

— 15.11.2022 09:42

Я попытался отредактировать поле C:\Program Files\Splunk\etc\system\default\props.config TRUNCATE, чтобы увеличить значение под [по умолчанию], но это все равно не сработало.

— 15.11.2022 09:43

НИКОГДА не меняйте настройку в файле конфигурации по умолчанию. Изменения следует вносить только в файлы конфигурации в local каталогах. См. примечание вверху файла C:\Program Files\Splunk\etc\system\default\props.config. Насколько велики события, которые вы пытаетесь индексировать? На что вы установили TRUNCATE?

— 15.11.2022 15:34

Я использовал notepad ++ для подсчета текста, это около 13 КБ. Я увеличил примерно до 25k, и это все еще усечено.

— 16.11.2022 02:13

13 000 — это число, которое легко обрабатывается как HEC, так и традиционным онбордингом. Кажется, где-то ошибка в настройках. Убедитесь, что настройки props.conf верны, установлены на первом тяжелом сервере пересылки или индексаторе, который видит данные, и что тип источника во входных настройках соответствует типу в реквизитах.

— 16.11.2022 02:19

14.11.2022 18:51

Ответ принят как подходящий

Создайте новый файл с именем props.conf в "C:\Program Files\Splunk\etc\system\local"

Для настройки усечения в локальном файле props.conf