如何解决Splunk:安排警报每 10 分钟运行一次
我想设置一个警报,每 10 分钟运行一次,并在某个比率大于 2.5 或小于 0.5 时触发。
"certainEvent" source="abc.log"
| timechart partial=f span=5m count as numbers
| fillnull
| streamstats current=f last(numbers) as last_numbers
| eval ratio = numbers/last_numbers
| where ratio>2.5 OR ratio < 0.5
现在我想安排警报搜索每 10 分钟运行一次。因此,我想按 cron 计划运行它并选择 */10 * * * *
。对吗?
其次,我可以在另存为提醒菜单中选择到期日期和时间范围。默认情况下,它似乎设置为过去 24 小时(时间范围)和到期日期以及过去 24 小时。我现在想知道这些设置是否对警报搜索有影响。我不希望我的警报搜索找到满足我在此时间范围内每次设置的查询中的条件的每个事件,但只查找一次(然后通过邮件通知)。我也不希望警报在 24 小时后过期,而是让警报搜索运行,直到它被我或其他人停止。所以,我想知道我是否应该或必须修改这两个参数以获得所需的功能?
解决方法
现在我想安排警报搜索每 10 分钟运行一次。因此,我想按 cron 计划运行它并选择 */10 * * * *
。对吗?
是的,每 10 分钟运行一次
其次,我可以在“另存为警报”菜单中选择到期日期和时间范围。默认情况下,它似乎设置为过去 24 小时(时间范围)和到期日期以及过去 24 小时。我现在想知道这些设置是否对警报搜索有影响。
这是给定搜索的结果在过期前保存的时间
搜索运行的时间段在搜索本身中设置。我通常明确用earliest=
这样设置句点:
index=ndx sourcetype=srctp fieldA=* fieldb=* earliest=-10m
我也不希望警报在 24 小时后过期,而是让警报搜索运行,直到它被我或其他人停止为止。
我认为您误解了许多 Splunk 术语。搜索将运行直到完成。搜索的结果仅保留为该搜索设置的过期时间(默认值包括 10 分钟、7 天、24 小时和 2 倍的运行间隔(例如预定报告) ).
如果您安排警报,它会一直保持计划状态,直到您(或其他具有适当权限的人)将其禁用 - 我有每 30 分钟运行一次的警报,并且已经几个月 .我还有其他人曾经每小时运行一次,但现在已被禁用(但未删除,因为我们在一年中的某些时候需要它们)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。