Splunk 计划和警报

 

调度是设置触发器以在无需用户干预的情况下自动运行报告的过程。以下是安排报告的用途:

  • 通过以不同的时间间隔(每月、每周或每天)运行相同的报告,我们可以获得该特定时期的结果。
  • 提高了仪表板的性能,因为报表在用户打开仪表板之前在后台完成运行。
  • 在运行完成后通过电子邮件自动发送报告。

 

创建时间表

通过编辑报告的计划功能来创建计划。我们转到"编辑"按钮上的 编辑日程选项,如下图所示。

Schedule Alert1

点击编辑时间表按钮后,我们会看到下一个屏幕,其中列出了用于创建时间表的所有选项。

在下面的示例中,我们采用所有默认选项,报告计划在每周一早上 6 点运行。

Schedule Alert2

 

调度的重要特征

以下是调度的重要特征:

  • 时间范围-它表示报告必须从中获取数据的时间范围。它可以持续 15 分钟、持续 4 小时或上周等。
  • 计划优先级-如果同时计划了多个报告,则这将决定特定报告的优先级。
  • Schedule Window-当有多个具有相同优先级的报告计划时,我们可以选择一个时间窗口,这将有助于报告在此窗口中的任何时间运行。如果是 5 分钟,则报告将在其预定时间的 5 分钟内运行。这有助于通过分散运行时间来提高预定报告的性能。

安排行动

计划操作旨在在报告运行后采取一些步骤。例如,您可能想要发送一封电子邮件,说明报告的运行状态或运行另一个脚本。可以通过单击 添加操作按钮设置选项来执行此类操作,如下所示:

Schedule Alert3

 

警报

Splunk 警报是在满足用户定义的特定条件时触发的操作。警报的目标可以是记录操作、发送电子邮件或将结果输出到查找文件等。

 

创建警报

您可以通过运行搜索查询并将其结果保存为提醒来创建提醒。在下面的屏幕截图中,我们通过选择 另存为选项来搜索每日文件计数并将结果保存为警报。

Schedule Alert4

在下一个屏幕截图中,我们配置警报属性。下图显示了配置屏幕:

Schedule Alert5

下面解释了每个选项的目的和选择:

 

  • Title-这是警报的名称。
  • Description-它是对警报功能的详细描述。
  • Permission-它的值决定了谁可以访问、运行或编辑警报。如果声明为私有,则只有警报的创建者拥有所有权限。要供其他人访问,该选项应更改为在应用中共享。在这种情况下,每个人都拥有读取权限,但只有高级用户才能编辑警报。
  • 警报类型-计划警报以预定义的时间间隔运行,其运行时间由从下拉列表中选择的日期和时间定义。但是实时警报的另一个选项会导致搜索在后台连续运行。每当满足条件时,就会执行警报操作。
  • 触发条件-触发条件检查触发器中提到的条件,并仅在满足警报条件时触发更改。您可以定义搜索结果中的结果数或源数或主机数以触发警报。如果设置为一次,当结果条件满足时它只会执行一次,但如果设置为For每个结果,那么它会为结果集中触发条件的每一行运行满足。
  • 触发操作-触发操作可以在满足触发条件时提供所需的输出或发送电子邮件。下图显示了 Splunk 中可用的一些重要触发器操作。

Schedule Alert6

 

 Splunk 知识管理是关于维护 Splunk Enterprise 实施的知识对象。以下是 知识管理的主要特点:确保知识对象由组织中正确的人群共享和使用。通过实施知识对象命名约定和淘汰重复或过时的对象来 ...