Splunk - 如何安排每 15 分钟搜索一次?

【问题标题】:Splunk - How to schedule search every 15 minutes?Splunk - 如何安排每 15 分钟搜索一次?
【发布时间】:2017-05-23 08:33:03
【问题描述】:

我现在的配置是这样的

我需要每 15 分钟运行一次搜索并触发警报以发送电子邮件,问题是即使我可以在日志中看到它有时也不会触发警报,有人可以帮忙解决这个问题吗?

【问题讨论】:

    标签: search triggers alert splunk


    【解决方案1】:

    我在这里考虑客户不断遇到的两种可能性,

    P1:您正遭受并发搜索过载的困扰,您的计划搜索会跳过运行,因为其中太多并行运行 修复:确保您的搜索得到优化,将它们从第 0 分钟移开并在一小时内随机分布,例如 

    4-59/15 * * * *
8-59/15 * * * *

    P2:您所说的警报实际上不是警报,您不是搜索关键字并将输出处理为聚合指标,而是转发整个输出,有时超过 15MB,从而阻塞您的 Exchange 服务器 修复:警报应使用报告命令(统计信息、图表),您可以将其与 Eval 语句结合以设置阈值并在满足您所追求的条件时触发警报 这仍然会在电子邮件上生成一个 URL,因此感兴趣的团队可以登录 Splunk 以检查其背后的原始事件

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-07-05
      • 1970-01-01
      • 1970-01-01
      • 2021-11-20
      • 2012-08-28
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode