Splunk Addon 构建器警报操作将结果存储到自定义索引中
Splunk Addon builder alert action to store results in to a custom index
我正在开发一个插件,以根据警报收集事件结果并将其发送到 API 端点。一旦响应成功,端点 returns 就会收到 JSON 格式的成功消息,我想将其存储在自定义索引和源类型中。
我尝试使用以下代码,但数据被写入主索引而不是我的自定义索引。有没有办法通过 Splunk 附加组件构建器将事件写入自定义索引以构建警报操作?
helper.addevent("hello", sourcetype="customsource")
helper.addevent("world", sourcetype="customsource")
helper.writeevents(index="mycustomindex", host="localhost", source="localhost")
与 Splunk 进行了一次会话,以检查是否可行。他们确认不可能将事件写回自定义索引,因为当前代码将数据作为存储写入主索引,这不会在许可下被考虑。所以我创建了基于 HEC 的 API 调用来存储数据以满足我的要求。
我正在开发一个插件,以根据警报收集事件结果并将其发送到 API 端点。一旦响应成功,端点 returns 就会收到 JSON 格式的成功消息,我想将其存储在自定义索引和源类型中。
我尝试使用以下代码,但数据被写入主索引而不是我的自定义索引。有没有办法通过 Splunk 附加组件构建器将事件写入自定义索引以构建警报操作?
helper.addevent("hello", sourcetype="customsource")
helper.addevent("world", sourcetype="customsource")
helper.writeevents(index="mycustomindex", host="localhost", source="localhost")
与 Splunk 进行了一次会话,以检查是否可行。他们确认不可能将事件写回自定义索引,因为当前代码将数据作为存储写入主索引,这不会在许可下被考虑。所以我创建了基于 HEC 的 API 调用来存储数据以满足我的要求。