Splunk 简明教程
Splunk - Schedules and Alerts
调度是设置触发器以在没有用户干预的情况下自动运行报表的流程。以下是在调度报表时的一些用途 −
-
通过在不同的时间间隔(每月、每周或每天)运行相同的报表,我们可以获取该特定时期的结果。
-
提高仪表板的性能,因为报表会在仪表板被用户打开之前在后台运行完成。
-
在报表运行完成后通过电子邮件自动发送报表。
Creating a Schedule
通过编辑报表的调度功能来创建调度。我们转到“编辑”按钮上的 Edit Schedule 选项,如下面的图片所示。
单击“编辑调度”按钮后,我们将获取下一个屏幕,其中列出了创建调度的所有选项。
在下面的示例中,我们将采用所有默认选项,并且调度报表在每周一上午 6 点运行。
Schedule Actions
安排的活动旨在在报表运行后采取一些措施。例如,你可能想要发送一封电子邮件来说明报表的运行状态或运行另一个脚本。可以通过单击 Add Actions 按钮(如下所示)来设置选项来执行此类操作 −
Alerts
Splunk 警报是当用户定义的特定条件满足时触发的操作。警报的目标可以是记录操作、发送电子邮件或将结果输出到查找文件等。
Creating an Alert
你可以通过运行搜索查询并将其结果另存为警报来创建警报。在下面的屏幕截图中,我们针对按日文件数进行搜索,并通过选择 Save As 选项将结果另存为警报。
在下一个屏幕截图中,我们将配置警报属性。下图显示了配置屏幕 −
下面解释了每个选项的用途和选择:
-
Title − 这是警报的名称。
-
Description − 这是警报做什么的详细说明。
-
Permission − 其值决定了谁可以访问、运行或编辑警报。如果声明为私有,则只有警报的创建者拥有所有权限。要被其他人访问,选项应更改为 Shared in App 。在这种情况下,每个人都有读取权限,但只有高级用户才有权限编辑警报。
-
Alert Type − 安排的警报以预定的间隔运行,其运行时间由从下拉菜单中选择的日期和时间定义。但实时警报的另一个选项会导致搜索在后台持续运行。每当满足条件时,警报动作就会被执行。
-
Trigger condition − 触发条件会检查触发器中提到的条件,并且仅当满足警报条件时才设置警报。你可以定义搜索结果中的结果数或来源数或主机数以触发警报。如果将其设置为一次,则它将在满足结果条件时仅执行一次,但如果将其设置为 For 每个结果,则它将针对触发条件满足的结果集中中的每一行运行。
-
Trigger Actions − 当满足触发条件时,触发动作可以提供所需的输出或发送电子邮件。下图显示了 Splunk 中提供的一些重要触发动作。