我正在设置Splunk搜索/警报以在一组服务器中搜索错误。错误在多台主机上发生但每台主机仅发生一次时,如何设置警报以邮件发送给我?
例如,如果错误是在6个一组中的两个主机上连续发生,我需要获得两个警报(每个主机一个),直到第二天才出现一次。 (对于直到第二天的一次选项,我正在使用节流功能) splunk可能吗?
答案 0 :(得分:0)
我知道了。在油门设置中,我将“抑制”字段值作为主机,并为每次发生设置警报。这样,它会为所有主机发送一次警报,然后抑制所有事件,直到达到阈值为止。
答案 1 :(得分:0)
要限制特定字段,必须在“触发条件”部分中选择“对于每个结果”选项。然后将“主机”放在“抑制包含字段值的结果”框中。 参见http://docs.splunk.com/Documentation/Splunk/7.2.0/Alert/ThrottleAlerts