通过引用此document,我创建了一个自适应响应操作,我可以在事件审核仪表板上看到" Enterprise Security"应用于Splunk。
我在custom_alert_action_script(/ bin中的python文件)中使用了相同的名称,我用它来定义alert_actions.conf中的操作。 在python文件中,我使用的是logger,但它没有在" SPLUNK_HOME / var / log / splunk"下创建任何记录器文件。目录,而我可以看到splunk提供的一些自适应响应操作的日志文件。 当我" Run"我的自适应响应操作,它应该调用/ bin目录下定义的custom_alert_action_script,但我想这也没有发生。 我使用了此处显示的相同示例http://dev.splunk.com/view/enterprise-security/SP-CAAAFBH
任何人都可以帮我这个吗? 提前谢谢你:)
答案 0 :(得分:1)
在一段时间内完成一项小任务时,我遇到了类似的问题,在我的案例中问题非常小。
应根据此链接中提到的目的命名加载项 [http://docs.splunk.com/Documentation/ES/3.3.3/Install/ESArchitecture]
所以我认为您的附加文件夹名称应该以TA(技术插件)开头,它将起作用,因为它对我有用。
答案 1 :(得分:0)
我在创建自适应响应操作时犯了一个错误。 当我第一次处理它时,我没有遵循命名惯例,这就是背后的原因。