Reenvío de logs a destinos personalizados

El reenvío de logs no está disponible para el sitio del Gobierno. Ponte en contacto con tu representante de cuenta para obtener más información.

Información general

El reenvío de logs te permite enviar logs desde Datadog a destinos personalizados como Splunk, Elasticsearch y endpoints HTTP. Esto significa que puedes utilizar pipelines de logs para recopilar, procesar y estandarizar tus logs de forma centralizada en Datadog. A continuación, puedes enviar los logs desde Datadog a otras herramientas para dar soporte a los flujos de trabajo de los equipos individuales. Puedes elegir reenviar cualquier log consumido, esté o no indexado, a destinos personalizados. Los logs se reenvían en formato JSON y se comprimen con GZIP.

Nota: Sólo los usuarios de Datadog con el permiso logs_write_forwarding_rules pueden crear, editar y eliminar destinos personalizados para el reenvío de logs.

Página de reenvío de logs que muestra los destinos personalizados resaltados. La lista de destinos incluye Splunk (filtrado por servicio: logs-processing), endpoint HTTP (filtrado por origen: okta OR source:paloalto) y Elasticsearch (filtrado por equipo: acme env:prod).

Si falla un intento de reenvío (por ejemplo: si el destino deja de estar disponible temporalmente), Datadog vuelve a intentarlo periódicamente durante 2 horas utilizando una estrategia de retraso exponencial. El primer intento se realiza tras un retraso de 1 minuto. En los siguientes reintentos, el retraso aumenta progresivamente hasta un máximo de 8 a 12 minutos (10 minutos con una variación del 20%).

Las siguientes métricas informan de los logs que se han reenviado correctamente, incluyendo los logs que se han enviado correctamente después de algunos reintentos, así como de los logs que se han descartado.

  • datadog.forwarding.logs.bytes
  • datadog.forwarding.logs.count

Configurar el reenvío de logs a destinos personalizados

  1. Añade las IPs de webhooks de IP ranges list a la lista de permisos.
  2. Ve a Log Forwarding (Reenvío de logs).
  3. Selecciona Custom Destinations (Destinos personalizados).
  4. Haz clic en New Destination (Nuevo destino).
  5. Introduce la consulta para filtrar tus logs para el reenvío. Para obtener más información, consulta Sintaxis de búsqueda para logs.
  6. Selecciona el Destination Type (Tipo de destino).
Página de configuración del destino que muestra los pasos que se deben seguir para configurar un nuevo destino
  1. Introduce un nombre para el destino.
  2. En el campo Define endpoint (Definir el endpoint), introduce el endpoint al que quieres enviar los logs. El endpoint debe empezar por https://.
  3. En la sección Configure Authentication (Configurar la autenticación), selecciona uno de los siguientes tipos de autenticación y proporciona los datos apropiados:
    • Autenticación básica: proporciona el nombre de usuario y la contraseña de la cuenta a la que quieres enviar los logs.
    • Encabezado de la solicitud: proporciona el nombre y el valor del encabezado. Por ejemplo, si utilizas el encabezado Autorización, y el nombre de usuario de la cuenta a la que quieres enviar logs es myaccount y la contraseña es mypassword:
      • Introduce Authorization para el Nombre del encabezado.
      • El valor del encabezado tiene el formato Basic username:password, donde username:password está codificado en base64. En este ejemplo, el valor del encabezado es Basic bXlhY2NvdW50Om15cGFzc3dvcmQ=.
  1. Introduce un nombre para el destino.
  2. En la sección Configure Destination (Configurar el destino), introduce el endpoint al que quieres enviar los logs. El endpoint debe empezar por https://. Por ejemplo, introducehttps://<your_account>.splunkcloud.com:8088.
    Nota: /services/collector/event se añade automáticamente al endpoint.
  3. En la sección Configure Authentication (Configurar la autenticación), introduce el token Splunk HEC. Para obtener más información sobre el token Splunk HEC, consulta Configurar y utilizar el recopilador de eventos HTTP.
    Nota: El reconocimiento del indexador debe estar deshabilitado.
  1. Introduce un nombre para el destino.
  2. En la sección Configure Destination (Configurar el destino), introduce los siguientes datos:
    a. El endpoint al que quieres enviar los logs. El endpoint debe empezar por https://. Un ejemplo de endpoint para Elasticsearch es https://<your_account>.us-central1.gcp.cloud.es.io. b. El nombre del índice del destino al que quieres enviar los logs. c. También puedes seleccionar la rotación de índices para la frecuencia con la que quieres crear un nuevo índice: No Rotation, Every Hour, Every Day, Every Week o Every Month. El valor predeterminado es No Rotation.
  3. En la sección Configure Authentication (Configurar la autenticación), introduce el nombre de usuario y la contraseña de tu cuenta Elasticsearch.
  1. En la sección Select Tags to Forward (Seleccionar etiquetas [tags] para el reenvío): a. Selecciona si quieres incluir Todas las etiquetas, Ninguna etiqueta o Etiquetas específicas: b. Selecciona si quieres Incluir o Excluir determinadas etiquetas y especifica qué etiquetas quieres incluir o excluir.
  2. Haz clic en Save (Guardar).

En la página de reenvío de logs, sitúate sobre el estado de un destino para ver el porcentaje de logs que coinciden con los criterios de filtrado y que se han reenviado en la última hora.

Editar un destino

  1. Ve a Log Forwarding (Reenvío de logs).
  2. Selecciona Custom Destinations (Destinos personalizados) para ver una lista de todos los destinos existentes.
  3. Haz clic en el botón Edit (Editar) del destino que quieres editar.
  4. Realiza los cambios en la página de configuración.
  5. Haz clic en Save (Guardar).

Eliminar un destino

  1. Ve a Log Forwarding (Reenvío de logs).
  2. Selecciona Custom Destinations (Destinos personalizados) para ver una lista de todos los destinos existentes.
  3. Haz clic en el botón Delete (Eliminar) del destino que quieres eliminar y luego en Confirm (Confirmar). De este modo, el destino se elimina de la lista de destinos configurados en lista y los logs dejan de reenviarse a ese destino.

Leer más