用Splunk格式raw截断ECS splunk日志

Question

我有一个AWS ECS Cluster，并在任务定义中配置了Splunk日志和splunk-format: raw，如下所示：

{
  "logConfiguration": {
    "logDriver": "splunk",
    "secretOptions": [
      {
        "valueFrom": "myarn",
        "name": "splunk-token"
      }
    ],
    "options": {
      "splunk-url": "my-splunk-url",
      "splunk-source": "my-splunk-source",
      "splunk-format": "raw"
    }
  }
}

我在Splunk的所有仪表板都期望这种格式。消息在4kb上被截断。将格式更改为inline并不会截断消息，但是使用这种新格式将需要在Splunk仪表板中进行大量的重新工作。

有没有一种方法可以让它在不被截断的情况下与splunk-format: raw一起工作呢？

Answer 1

尝试通过任务定义中配置的环境变量SPLUNK_LOGGING_DRIVER_CHANNEL_SIZE来增加信道大小。

根据https://docs.docker.com/config/containers/logging/splunk/上的文档，4kb似乎是默认大小。

​

​