如果服务器日志中存在新错误,我希望触发splunk警报。新错误是过去一周内服务器日志中未出现的错误。我有日志索引index = Serverlogs1。
请帮助!
答案 0 :(得分:0)
要查找一段时间内未见的内容,需要搜索该时间段内的所有数据,因此请做好降低性能的准备。如果您可以具体说明“新”事件的条件,这将有所帮助。从此搜索开始。如果可能,将_raw替换为特定字段。
index=serverlogs1 earliest=-1w
| stats count by _raw
| where count = 1