我有一个Splunk搜索,该搜索返回多个具有相同异常的日志,每个ID编号一个(来自批处理)。我使用reg-ex从日志中提取字段没有问题,并且可以轻松地为每个ID号建立一个警报。
Slack Message: "Reference number $result.extractedField$ has failed processing."
由于错误是成批发生的,因此为每个失败的参考ID发送警报将很快使我的Slack通道混乱。是否可以收集所有提取的字段并将警报设置为仅发送一条消息?这样...
Slack Message: "Reference numbers $result.listOfExtractedFields$ have failed to process."
答案 0 :(得分:1)
要获得合并警报,您需要合并搜索结果。这样做:
index=the_index_youre_searching "the class where the error occurs" "the exception you're looking for"
| stats values(*) as * by referenceID
请确保在警报设置中选择“一次”触发条件。