Collectd未登录到Splunk

Question

我有一个安装了collectd的aws实例。我可以从实例卷曲到我的splunk服务器，然后将消息放入其中，这样就不会出现任何网络问题。我使用的端点和令牌与我在集合配置中使用的相同。

当我重新启动collectd服务时，我没有得到任何错误：

Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "syslog" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "cpu" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "load" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "memory" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "interface" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "write_http" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "network" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: plugin_load: plugin "rrdtool" successfully loaded.
Nov 10 00:11:31 kafka10-03 collectd[26435]: Initialization complete, entering read-loop.

但是，当我查看splunk时，没有日志。

我假设集合既充当客户端，又充当服务器(在同一实例上)。

/var/lib/collectd/rrd/localhost/文件夹中有日志文件。只是不确定为什么他们不会从那里进入splunk。

我确信这是我错过的一些基本的东西。

干杯

Answer 1

Splunk是否在监听默认端口9997？/opt/splunk/var/log/splunk/splunk.log怎么说？您是否可以通过端口9997从日志服务器远程登录到splunk服务器？您是否在配置输入/输出.conf文件后重新启动了splunkd？你能粘贴你的input/output.conf文件吗？

Answer 2

答案是，URL不仅需要在标头中包含令牌，还需要将其作为参数。

只需替换：

`URL "https://myurl.com:8088/services/collector"

Header "Authorization: Splunk {{splunk_token}}"`

通过以下方式：

`URL "https://myurl.com:8088/services/collector/raw?channel={{splunk_token}}"

Header "Authorization: Splunk {{splunk_token}}"`