在我的Splunk环境中的预定(cron)警报数量几乎翻了一番之后,我开始看到一些性能问题。
警报每五分钟运行一次,并查看前五分钟的数据。
earliest = -5m@m
latest = now
cron expression: */5 * * * *
我建议错开预定的警报,例如,有些警报在12:01运行,其他运行在12:02,其他运行在12:03,等等。
这可能吗?我在“编辑提醒”中找不到选项时遇到了困难。页面进一步微调cron时间表,以便我可以设置实际的开始时间。
另外,我得到的建议令人困惑,因为我手动添加了警报;我认为他们已经错开了,因为在创建每个警报时我没有等到正好在12:00或12:05才能点击提交按钮。这是一个不正确的假设吗?
答案 0 :(得分:1)
这些是您正在寻找的补偿
1-59 / 5 * * * *
2-59 / 5 * * * *
....