SpringBoot3和企业版Splunk集成（附加docker配置）

要将Spring Boot 3与企业版Splunk集成，并在Docker环境中配置，可以通过以下两种主要方式实现：

---

### **方式一：Spring Boot应用直接集成Splunk HEC（HTTP Event Collector）**

#### **步骤**

1. **启用Splunk HEC**

   - 登录Splunk Enterprise，进入 **Settings > Data Inputs > HTTP Event Collector**。

   - 创建新的HEC Token，记录Token值和HEC URL（如 `https://<splunk-server>:8088`）。

2. **Spring Boot添加依赖**

   在`pom.xml`中添加Splunk HEC库（例如Logback集成）：

   ```xml

   <dependency>

       <groupId>com.splunk.logging</groupId>

       <artifactId>splunk-library-javalogging</artifactId>

       <version>1.11.7</version>

   </dependency>

   ```

3. **配置Logback（`logback-spring.xml`）**

   添加Splunk HEC Appender：

   ```xml

   <configuration>

       <appender name="SPLUNK" class="com.splunk.logging.HttpEventCollectorLogbackAppender">

           <url>${SPLUNK_HEC_URL}</url>

           <token>${SPLUNK_HEC_TOKEN}</token>

           <disableCertificateValidation>true</disableCertificateValidation> <!-- 生产环境应配置有效证书 -->

           <source>spring-boot-app</source>

           <sourcetype>_json</sourcetype>

       </appender>

       <root level="INFO">

           <appender-ref ref="SPLUNK" />

       </root>

   </configuration>

   ```

4. **配置环境变量**

   在`application.properties`或Docker环境变量中设置：

   ```properties

   SPLUNK_HEC_URL=https://your-splunk-server:8088

   SPLUNK_HEC_TOKEN=your-hec-token

   ```

---

### **方式二：通过Docker日志驱动直接发送到Splunk**

#### **步骤**

1. **配置Docker守护进程（全局）**

   - 修改`/etc/docker/daemon.json`，添加Splunk日志驱动：

     ```json

     {

       "log-driver": "splunk",

       "log-opts": {

         "splunk-token": "your-hec-token",

         "splunk-url": "https://your-splunk-server:8088",

         "splunk-insecureskipverify": "true", // 仅测试用

         "splunk-source": "docker-container"

       }

     }

     ```

   - 重启Docker服务：`sudo systemctl restart docker`.

2. **单容器运行时指定日志驱动**

   ```bash

   docker run \

     --log-driver=splunk \

     --log-opt splunk-token=your-hec-token \

     --log-opt splunk-url=https://your-splunk-server:8088 \

     --log-opt splunk-insecureskipverify=true \

     your-spring-boot-image

   ```

3. **Docker Compose配置**

   在`docker-compose.yml`中指定日志选项：

   ```yaml

   services:

     app:

       image: your-spring-boot-image

       logging:

         driver: splunk

         options:

           splunk-token: "your-hec-token"

           splunk-url: "https://your-splunk-server:8088"

           splunk-insecureskipverify: "true"

           splunk-source: "docker-compose-app"

   ```

---

### **关键注意事项**

1. **安全性**

   - 生产环境中应禁用`disableCertificateValidation`或`insecureskipverify`，并为HEC配置有效SSL证书。

   - 使用Splunk的访问控制列表（ACL）限制HEC Token权限。

2. **日志格式优化**

   - 使用JSON格式日志（如`LogstashEncoder`）提高Splunk解析效率：

     ```xml

     <encoder class="net.logstash.logback.encoder.LogstashEncoder" />

     ```

3. **性能调优**

   - 调整HEC的批量发送策略（如`batch_size_count`、`batch_interval`）避免频繁请求。

4. **Docker日志驱动限制**

   - Docker日志驱动可能无法捕获应用内部日志文件（仅捕获stdout/stderr），需结合应用日志配置。

---

### **验证集成**

1. **在Splunk中搜索日志**

   ```sql

   index="your-index" source="spring-boot-app"

   ```

2. **测试HEC连通性**

   ```bash

   curl -k https://your-splunk-server:8088/services/collector \

     -H "Authorization: Splunk your-hec-token" \

     -d '{"event": "test event", "sourcetype": "_json"}'

   ```

---

两种方式均可实现集成，选择依据：

- **应用内集成HEC**：适合需要结构化日志或精细控制日志内容的场景。

- **Docker日志驱动**：适合快速收集容器标准输出，无需修改应用代码。