这是我第一次使用Splunk。我需要创建一个每15秒运行一次的实时警报,然后向可配置的一组人发送一条警报电子邮件。
我怎样才能做到这一点?感谢。
答案 0 :(得分:0)
Splunk提供了一个向单个或多个收件人发送触发警报的选项。每15秒发送一次警报听起来有点极端,可能需要进行审核(但那是另一个故事:))。
此link提供了有关如何创建预设警报的一个很好的示例。
或者,您也可以使用以下方式从搜索命令发送通知:
index=main | head 5 | sendemail to=<email address> server=<server info> subject="Here is an email notification" message="This is an example message" sendresults=true inline=true format=raw sendpdf=true
或者,如果您希望获得一点创意,可以根据搜索结果向不同的收件人发送电子邮件:
"error" | stats count | eval recipient=case(count > 3500, "recipient1@domain.com", count >= 500, "recipient2@domain.com", 1==1, null()) | where isnotnull(recipient)
当搜索保存为提醒时,请使用&#39; To&#39; <中的以下令牌配置&#39;发送电子邮件提醒&#39; 操作/ em>收件人字段。
$result.recipient$