Splunk HEC 取发送数据 服务器的hostname

1:背景:

最近Client 发送数据到 Splunk HEC, 发现对方hostname 没有取到,都是HEC 的VIP 地址。

这个就不能发现是那个host 发过来的数据,下面查了下文档,发现Splunk 是可以跟踪发送数据的host 的,主要配置如下:

2: 解决方法:

splunk_httpinput\inputs.conf

connection_host = [ip|dns|none]
* Specify the host if an event doesn't have host set.
* "ip" sets the host to the IP address of the system sending the data.
* "dns" sets the host to the reverse DNS entry for IP address of the system sending the data.
* "none" leaves the host as specified in the HTTP header.

这个配置文件主要是写在cluster master 的上面,然后 发布到indexer server 上去,这样client server, 发送数据 通过token 到index, splunk 的search head 前台就可以收到 数据了。

注意: 上面的配置是:connection_host = dns,或者是 connection_host =

你可能感兴趣的:(splunk,Splunk,HEC,hostname,host)