我目前正在使用 Splunk 作为索引 Java 应用程序生成的日志文件的方法。我有一个使用开发数据(在本地服务器上)运行的 Splunk Enterprise 实例,目前日志数据只是通过其 REST API(使用其 Java SDK)推送到 Splunk。
但是,这个 Java 应用程序最终将用于 AWS EC2 实例上的生产数据。我想知道放弃 REST API 并实现 Splunk Universal Forwarders 是否有任何优势在这些 EC2 实例上。
有什么优势吗?什么时候适合使用转发器而不是 REST API?
据我所知, cargo 代理在规模上做得很好,所以也许这是一个优势?我四处搜寻,但没有发现两者之间有任何明确的比较,所以我希望这里有人可能有更好的想法。
最佳答案
Splunk REST API 的真正目的是与外部应用程序集成并请求管理已索引的数据。
任何大量进来的 cargo 都应该由通用/重型 cargo 代理处理,因为它们是专门为该功能开发的(因此效率提高了几个数量级)。
关于java - 使用 Splunk 通用转发器或 Splunk REST API 的优势?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27784160/