如何配置 Python 脚本来更改 Splunk 电子邮件警报的正文?
How to configure Python script to change body for Splunk email alert?
我有一个 Splunk 查询,其中 returns 几个 JSON 结果,我想将其另存为警报,定期向一组人发送电子邮件。
我创建了一个 Python 脚本,它将一些 JSONS 作为输入,例如 Splunk 日志中的那些,并美化了结果。
如何配置 Splunk 警报以便用户通过电子邮件收到美化结果?是否可以将 Splunk 配置为 运行 查询结果中的 Python 脚本并将美化后的输出放在电子邮件正文中?我应该将脚本上传到某个地方吗?
如果您的意思是 运行从搜索行中获取脚本,这可以回答您的问题:
http://docs.splunk.com/Documentation/Splunk/6.3.3/SearchReference/Script
(注意:如果您 运行 6.3.3 之前的版本,请选择正确的 Splunk 版本)
@IvanStarostin 说得好
如果是应用程序,脚本应始终位于:$SPLUNK_HOME/bin/scripts 或 $SPLUNK_HOME/etc//bin/scripts。
当警报触发时,您可以通过以下方式 select 脚本 运行:
运行 所需的搜索,然后单击另存为警报。配置搜索的频率 运行 以及触发警报的条件(例如,当结果等于 0 时)。
然后 Select 运行 来自“添加操作”菜单的脚本。输入您想要 运行 的脚本的文件名,您就设置好了!
您也可以通过在查询后通过管道在搜索栏中测试您的脚本:
.....|脚本命令名
我有一个 Splunk 查询,其中 returns 几个 JSON 结果,我想将其另存为警报,定期向一组人发送电子邮件。
我创建了一个 Python 脚本,它将一些 JSONS 作为输入,例如 Splunk 日志中的那些,并美化了结果。
如何配置 Splunk 警报以便用户通过电子邮件收到美化结果?是否可以将 Splunk 配置为 运行 查询结果中的 Python 脚本并将美化后的输出放在电子邮件正文中?我应该将脚本上传到某个地方吗?
如果您的意思是 运行从搜索行中获取脚本,这可以回答您的问题: http://docs.splunk.com/Documentation/Splunk/6.3.3/SearchReference/Script
(注意:如果您 运行 6.3.3 之前的版本,请选择正确的 Splunk 版本)
@IvanStarostin 说得好
如果是应用程序,脚本应始终位于:$SPLUNK_HOME/bin/scripts 或 $SPLUNK_HOME/etc//bin/scripts。 当警报触发时,您可以通过以下方式 select 脚本 运行:
运行 所需的搜索,然后单击另存为警报。配置搜索的频率 运行 以及触发警报的条件(例如,当结果等于 0 时)。
然后 Select 运行 来自“添加操作”菜单的脚本。输入您想要 运行 的脚本的文件名,您就设置好了! 您也可以通过在查询后通过管道在搜索栏中测试您的脚本:
.....|脚本命令名