Splunk 简明教程

Splunk - Schedules and Alerts

调度是设置触发器以在没有用户干预的情况下自动运行报表的流程。以下是在调度报表时的一些用途 −

  1. 通过在不同的时间间隔(每月、每周或每天)运行相同的报表,我们可以获取该特定时期的结果。

  2. 提高仪表板的性能,因为报表会在仪表板被用户打开之前在后台运行完成。

  3. 在报表运行完成后通过电子邮件自动发送报表。

Creating a Schedule

通过编辑报表的调度功能来创建调度。我们转到“编辑”按钮上的 Edit Schedule 选项,如下面的图片所示。

schedule alert 1

单击“编辑调度”按钮后,我们将获取下一个屏幕,其中列出了创建调度的所有选项。

在下面的示例中,我们将采用所有默认选项,并且调度报表在每周一上午 6 点运行。

schedule alert 2

Important Features of Scheduling

以下为调度的重要特性 −

  1. Time Range − 指示报表必须获取数据的时间范围。可以是最近 15 分钟、最近 4 小时或上周等。

  2. Schedule Priority − 如果同时安排多个报表,那么这将确定特定报表的优先级。

  3. Schedule Window − 当存在多个具有相同优先级的报表安排时,我们可以选择一个时间窗口,这将帮助报表在此窗口期间的任何时间运行。如果为 5 分钟,则报表将在其预定时间后的 5 分钟内运行。这有助于通过分散运行时间来提高安排的报表的性能。

Schedule Actions

安排的活动旨在在报表运行后采取一些措施。例如,你可能想要发送一封电子邮件来说明报表的运行状态或运行另一个脚本。可以通过单击 Add Actions 按钮(如下所示)来设置选项来执行此类操作 −

schedule alert 3

Alerts

Splunk 警报是当用户定义的特定条件满足时触发的操作。警报的目标可以是记录操作、发送电子邮件或将结果输出到查找文件等。

Creating an Alert

你可以通过运行搜索查询并将其结果另存为警报来创建警报。在下面的屏幕截图中,我们针对按日文件数进行搜索,并通过选择 Save As 选项将结果另存为警报。

schedule alert 4

在下一个屏幕截图中,我们将配置警报属性。下图显示了配置屏幕 −

schedule alert 5

下面解释了每个选项的用途和选择:

  1. Title − 这是警报的名称。

  2. Description − 这是警报做什么的详细说明。

  3. Permission − 其值决定了谁可以访问、运行或编辑警报。如果声明为私有,则只有警报的创建者拥有所有权限。要被其他人访问,选项应更改为 Shared in App 。在这种情况下,每个人都有读取权限,但只有高级用户才有权限编辑警报。

  4. Alert Type − 安排的警报以预定的间隔运行,其运行时间由从下拉菜单中选择的日期和时间定义。但实时警报的另一个选项会导致搜索在后台持续运行。每当满足条件时,警报动作就会被执行。

  5. Trigger condition − 触发条件会检查触发器中提到的条件,并且仅当满足警报条件时才设置警报。你可以定义搜索结果中的结果数或来源数或主机数以触发警报。如果将其设置为一次,则它将在满足结果条件时仅执行一次,但如果将其设置为 For 每个结果,则它将针对触发条件满足的结果集中中的每一行运行。

  6. Trigger Actions − 当满足触发条件时,触发动作可以提供所需的输出或发送电子邮件。下图显示了 Splunk 中提供的一些重要触发动作。

schedule alert 6