如何安排搜索在Splunk中每5分钟运行一次?

时间:2015-10-14 09:44:41

标签: search cron schedule splunk

我在5分钟的时间范围内搜索splunk的一些数据。我希望这个查询在splunk上每隔5分钟运行一次。如何才能做到这一点?我尝试在splunk上找到它,但我能看到的是如何安排警报和报告。在激活查询后,我们如何访问查询生成的结果?

1 个答案:

答案 0 :(得分:5)

从技术上讲,您可以进行预定搜索,但只讨论报告或提醒时才有意义。您的预定方法实际上是最佳实践(因为还有可能实时搜索最后5分钟)。

  • 如果您只想要一份报告,请告诉Splunk将其作为HTML表格或PDF文档发送给您。
  • 如果您只想在某些条件匹配时收到警报(即超过X个结果),那么您需要设置警报。
  • 预定搜索可用,但访问(imho)
    • 有点棘手

在警报/报告计划选项中,您必须设置以下内容:

  • 最早:-6m@m
  • 最新消息:-1m@m
  • Cron表达:*/5 * * * *

不要忘记设置一些触发条件(用于警报)或交付方法(用于报告);)

相关问题
最新问题