Flume 下沉到 Splunk?

Flume sink to Splunk?

有没有人成功地将数据从 flume 下沉到 splunk?

我试过 Thrift 和 Avro flume 接收器,但它们有问题。 splunk 的格式不是很好,并且 flume 在事件被击沉后不断尝试事件。

我正在研究 flume HTTP 接收器到 splunk 的 HEC,但我看不到如何在 header 中设置 HEC 令牌。是否有人在 header 中为 flume http 接收器配置了 HEC 令牌?

考虑只做一个转发到 Splunk 的文件接收器,但希望尽可能避免使用这个临时文件。

建议?

最后只是制作了一个滚动文件接收器,并将这些文件复制到一个由 Splunk 转发器监控的目录中。不理想或性能不佳,但足以满足我们的用例。