在创建没有来自 Splunk 服务的日志时触发的警报时,我应该使用什么搜索词?
What search terms should I use when creating alert that is triggered when there are no logs coming from service in Splunk?
我想在 Splunk 中没有来自我们服务的日志时触发警报,但不知道该怎么做。
我可以使用此 [| inputlookup app | search app=app_name env=prod service=app_name] 搜索我们的日志,其中 app 是 csv 查找 table,其中包含为我们的搜索提供查找值的 app、env 和服务属性。
另一件需要注意的事情是我可以访问 sourcetype 或 source where
sourcetype=kube:container:app_name_env
source=*k8s_app_name_env_*
但同样,我不确定我应该根据什么搜索查询来创建警报。我知道如何在 splunk 中创建警报,但不确定如果没有来自上述来源的日志,如何触发它。有什么建议么?谢谢!
在警报操作中,让它在没有结果时发送消息:
我想在 Splunk 中没有来自我们服务的日志时触发警报,但不知道该怎么做。
我可以使用此 [| inputlookup app | search app=app_name env=prod service=app_name] 搜索我们的日志,其中 app 是 csv 查找 table,其中包含为我们的搜索提供查找值的 app、env 和服务属性。
另一件需要注意的事情是我可以访问 sourcetype 或 source where
sourcetype=kube:container:app_name_env
source=*k8s_app_name_env_*
但同样,我不确定我应该根据什么搜索查询来创建警报。我知道如何在 splunk 中创建警报,但不确定如果没有来自上述来源的日志,如何触发它。有什么建议么?谢谢!
在警报操作中,让它在没有结果时发送消息: