我希望使用REST API创建Splunk警报。但是,我在操作列表中找不到“发送到触发的警报”操作。如何添加该动作?
答案 0 :(得分:1)
您在Splunk documentation中寻找的参数是alert.track。您必须在请求中将alert.track设置为1。
以下是此类警报的示例:
curl -k -u admin:password https://some.address:8089/servicesNS/admin/search/saved/searches \
-d name=test4 \
--data-urlencode output_mode='json' \
--data-urlencode actions='' \
--data-urlencode alert.digest_mode='1' \
--data-urlencode alert.expires='24h' \
--data-urlencode alert.managedBy='' \
--data-urlencode alert.severity='3' \
--data-urlencode alert.suppress='0' \
--data-urlencode alert.suppress.fields='' \
--data-urlencode alert.suppress.period='' \
--data-urlencode alert.track='1' \
--data-urlencode alert_comparator='equal to' \
--data-urlencode alert_condition='' \
--data-urlencode alert_threshold='0' \
--data-urlencode alert_type='number of events' \
--data-urlencode allow_skew='0' \
--data-urlencode cron_schedule='*/2 * * * *' \
--data-urlencode description='' \
--data-urlencode disabled='0' \
--data-urlencode displayview='' \
--data-urlencode is_scheduled='1' \
--data-urlencode is_visible='1' \
--data-urlencode max_concurrent='1' \
--data-urlencode realtime_schedule='1' \
--data-urlencode restart_on_searchpeer_add='1' \
--data-urlencode run_n_times='0' \
--data-urlencode run_on_startup='0' \
--data-urlencode schedule_priority='default' \
--data-urlencode schedule_window='0' \
--data-urlencode search='sourcetype="auth" failed'