我是Splunk的新手,请原谅我,如果我的问题太天真了。如果字段的平均值高于阈值,我想设置Splunk警报。我的搜索如下:
sourcetype="somesourcetype" search phase | stats avg(f1) as Average
如果我使用
sourcetype="somesourcetype" search phase | timechart avg(f1) as Average span=1h
我可以看到列出字段f1平均值的表格。但是使用stats avg(f1)我在统计面板下没有得到任何内容,如果f1的平均值超过100毫秒,我不知道如何设置警报。
答案 0 :(得分:0)
要在某个阈值触发警报,请在查询中包含阈值,如果结果数不为零,则设置警报触发器。
sourcetype="somesourcetype" search phase | stats avg(f1) as Average | where Average > 100