我正在开发一个插件,用于根据警报收集事件结果并将其发送到API端点。响应成功后,端点将以JSON格式返回成功消息,我想将其存储在自定义索引和源类型中。
我尝试使用下面的代码,但是数据被写入Main索引而不是我的自定义索引。是否可以通过Splunk附加组件构建器将事件写入自定义索引中,以进行警报操作?
helper.addevent("hello", sourcetype="customsource")
helper.addevent("world", sourcetype="customsource")
helper.writeevents(index="mycustomindex", host="localhost", source="localhost")
答案 0 :(得分:0)
与Splunk进行了会话以检查是否可行。他们确认不可能将事件写回到自定义索引,因为当前代码将数据作为隐藏方式写入Main索引,这不会被许可使用。因此,我创建了基于HEC的API调用来存储数据以满足我的要求。