1. 访问地址字段中,输入您的 Splunk 实例输入 IP 地址和端口(例如: )

    • Splunk 通常使用端口 8088。如果您使用的是 Splunk Cloud,可以通过 Splunk 支持 来获取访问地址。

  2. 日志源字段中定义 Rancher 日志源的名字。

如果您的 Splunk 实例使用 SSL,则您的访问地址必须以 开头。输入正确的访问地址,将展开SSL 配置表单。

  1. 提供客户端私钥客户端证书。您可以复制和粘贴它们,也可以使用从文件读取按钮上传它们。

    • 您可以使用自签名证书,也可以使用证书颁发机构提供的证书。

    • 或使用 openssl 命令生成自签名证书。例如:

  2. 输入您的客户密钥密码

    • 如果您使用的是来自证书颁发机构的证书,请选择启用-输入受信任的服务器证书。您无需提供PEM 格式的 CA 证书

  1. 登录到 Splunk 服务器。

  2. 点击Search & ReportingIndexed Events的数量应在增加。

  3. 点击 Data Summary 选择 Sources 选项卡。

  4. 要查看实际的日志,请选择您先前声明的数据源名字。 View Logs

您可以使用 curl 来查看 HEC 是否开启:

  1. $ curl http://splunk-server:8088/services/collector/event \

如果收到错误,请检查 Splunk 和 Rancher 中的配置。