我编写了一个Splunk查询,以获取结果并相应地生成警报。
我正在使用的查询是
index=aws_instance_prod sourcetype="alert_log" host="*" File_Count=0
| stats count by Interface
执行此查询时,我得到任何主机服务器中File_Count = 0的接口的计数。
但是我想在两个主机中任何接口的计数为0时生成警报。
请参考以下屏幕截图。 Sample Result
根据此屏幕截图,我们可以看到S和Y是具有count = 2的接口,这意味着两个接口在两个主机中的计数均为0。 因此,我想针对这两个界面发出警报。
类似地,如果任何接口返回的计数为2,则对该接口发出警报。
答案 0 :(得分:1)
您可以将搜索查询更新为类似的内容,
index=aws_instance_prod sourcetype="alert_log" host="*" File_Count=0
| stats count by Interface | where count=2
这项小小的检查将限制您的结果,使其仅显示具有count as 2的结果,这意味着两个接口在两个主机中的计数均为0。
然后您可以基于此查询返回的记录数设置警报,并可以基于所有结果或基于每个结果触发操作。
下面是可以帮助您配置警报的链接 Splunk Alert link。