Splunk:限制警报
Splunk: Throttling of alerts
我配置了一个警报,它每十分钟运行一次,如果事件数大于零就会触发。我希望触发此警报,或者仅在第一次出现时才发送此警报的邮件。如果警报条件被触发,例如在第一封邮件后一小时,则应发送下一封电子邮件。所以,我所做的是检查油门箱并选择时间范围以抑制下一个触发器一小时。
我想在这里实现的是例如:
警报条件已在 8:00 a.m 处触发。此外,在 8:30 a.m、8:55 a.m 和 9:05 a.m。然后我想总共收到两个警报。一个在 8:00 a.m。另一个在 9:10.
我通过上面描述的配置得到的正是这个吗?
是的,这就是您的节流配置要做的。
我配置了一个警报,它每十分钟运行一次,如果事件数大于零就会触发。我希望触发此警报,或者仅在第一次出现时才发送此警报的邮件。如果警报条件被触发,例如在第一封邮件后一小时,则应发送下一封电子邮件。所以,我所做的是检查油门箱并选择时间范围以抑制下一个触发器一小时。
我想在这里实现的是例如: 警报条件已在 8:00 a.m 处触发。此外,在 8:30 a.m、8:55 a.m 和 9:05 a.m。然后我想总共收到两个警报。一个在 8:00 a.m。另一个在 9:10.
我通过上面描述的配置得到的正是这个吗?
是的,这就是您的节流配置要做的。