我正在使用Splunk REST API(C#)
我有一个event_id,我想用HTTP POST请求更新事件状态。
我尝试的是发送HTTP Post请求,并将以下请求主体发送为json:
{'status': 5, 'urgency': 'high', 'newOwner': 'admin', 'output_mode': 'json', 'comment': 'This is a test of the REST endpoint', 'ruleUIDs': ['MYEVENTUID']}
这就是回应:
{"message": "No search ID was provided.", "success": false}
问题是什么,我该如何解决?
答案 0 :(得分:0)
您是否尝试更改已编入索引的splunk事件? 如果是这样,你就不能,因为splunk索引是只读的,并且它们的数据不能改变。