我设置了splunk警报。但是,当重新启动应用程序服务器时,会创建许多触发这些警报的日志条目。我想忽略这些日志条目,或者在重新启动应用程序服务器时忽略警报。
没有能够做到这一点,有没有办法注释splunk时间轴?这样我可以注释时间线,当人们收到警报时,他们可以打开报告并看到服务器重启。其他带时间轴的工具允许这种注释。
答案 0 :(得分:1)
实施“安全工作时间”的最佳方法是使用查找文件。 使用date_day date_hour类型的字段来设置安全时间,然后使用servername作为查找字段来获取数据,然后使用where子句过滤掉安全时间。
查找文件
host safe_begin safe_end
myHost 1900 2200
<强>查询:
.... | where date_hour!>=safe_begin AND date_hour!<=safe_end
之后,相应地设置警报。