Splunk:每 10 分钟安排提醒 运行
Splunk: Schedule alert to run every 10 minutes
我想设置一个警报,每 10 分钟 运行 秒,当某个比率大于 2.5 或小于 0.5 时触发。
"certainEvent" source="abc.log"
| timechart partial=f span=5m count as numbers
| fillnull
| streamstats current=f last(numbers) as last_numbers
| eval ratio = numbers/last_numbers
| where ratio>2.5 OR ratio < 0.5
现在我想将提醒搜索安排为每 10 分钟 运行。因此,我想 运行 它按 cron 计划并选择了 */10 * * * *。对吗?
其次,我可以在另存为警报菜单中选择到期日期和时间范围。默认情况下,它似乎设置为最近 24 小时(时间范围)和到期日期以及最近 24 小时。我现在想知道这些设置是否对警报搜索有影响。我不希望我的警报搜索找到满足我在此时间范围内每次设置的查询中的条件的每个事件,但只有一次(然后通过邮件通知)。我也不希望警报在 24 小时后过期,但让警报搜索 运行 直到它被我或其他人停止。所以,我想知道我是否应该或必须修改这两个参数以获得所需的功能?
Now I want to schedule the alert search to run every 10 minutes. Therefore, I want to run it on cron schedule and chose */10 * * * *. Is that correct?
是的,那将 运行 每 10 分钟
Secondly, I can choose an expiration date and a Time Range in the Save as Alert-menu. By default it seems to be set to the last 24 hours (Time Range) and Expiration date as well to the last 24 hours. I am now wondering if these settings do have an effect on the alert search.
这是给定搜索的结果在过期前保存的时间
搜索 运行s 在搜索本身中设置的时间段。我通常显式设置周期earliest=这样:
index=ndx sourcetype=srctp fieldA=* fieldb=* earliest=-10m
I also do not want the alert to expire after 24 hours but let the alert search run until it is stopped by me or someone else.
我认为您误解了许多 Splunk 术语。搜索将 运行 直到完成。搜索的 结果 只会保留多长时间 - 为该搜索设置的过期时间(默认值包括 10 分钟、7 天、24 小时和 运行 的 2 倍间隔(例如对于预定的报告))。
如果您安排了一个警报,它将一直保持计划,直到您(或其他具有适当权限的人)将其禁用 - 我已经收到 运行 每 30 分钟一次的警报 个月。我有其他人过去每小时 运行,但现在被禁用了(但没有被删除,因为我们在一年中的某些时候需要它们)。
我想设置一个警报,每 10 分钟 运行 秒,当某个比率大于 2.5 或小于 0.5 时触发。
"certainEvent" source="abc.log"
| timechart partial=f span=5m count as numbers
| fillnull
| streamstats current=f last(numbers) as last_numbers
| eval ratio = numbers/last_numbers
| where ratio>2.5 OR ratio < 0.5
现在我想将提醒搜索安排为每 10 分钟 运行。因此,我想 运行 它按 cron 计划并选择了 */10 * * * *。对吗?
其次,我可以在另存为警报菜单中选择到期日期和时间范围。默认情况下,它似乎设置为最近 24 小时(时间范围)和到期日期以及最近 24 小时。我现在想知道这些设置是否对警报搜索有影响。我不希望我的警报搜索找到满足我在此时间范围内每次设置的查询中的条件的每个事件,但只有一次(然后通过邮件通知)。我也不希望警报在 24 小时后过期,但让警报搜索 运行 直到它被我或其他人停止。所以,我想知道我是否应该或必须修改这两个参数以获得所需的功能?
Now I want to schedule the alert search to run every 10 minutes. Therefore, I want to run it on cron schedule and chose
*/10 * * * *. Is that correct?
是的,那将 运行 每 10 分钟
Secondly, I can choose an expiration date and a Time Range in the Save as Alert-menu. By default it seems to be set to the last 24 hours (Time Range) and Expiration date as well to the last 24 hours. I am now wondering if these settings do have an effect on the alert search.
这是给定搜索的结果在过期前保存的时间
搜索 运行s 在搜索本身中设置的时间段。我通常显式设置周期earliest=这样:
index=ndx sourcetype=srctp fieldA=* fieldb=* earliest=-10m
I also do not want the alert to expire after 24 hours but let the alert search run until it is stopped by me or someone else.
我认为您误解了许多 Splunk 术语。搜索将 运行 直到完成。搜索的 结果 只会保留多长时间 - 为该搜索设置的过期时间(默认值包括 10 分钟、7 天、24 小时和 运行 的 2 倍间隔(例如对于预定的报告))。
如果您安排了一个警报,它将一直保持计划,直到您(或其他具有适当权限的人)将其禁用 - 我已经收到 运行 每 30 分钟一次的警报 个月。我有其他人过去每小时 运行,但现在被禁用了(但没有被删除,因为我们在一年中的某些时候需要它们)。