如何在 Splunk 中每 5 分钟安排一次搜索 运行?
How to schedule a search to run every 5 minutes in Splunk?
我正在 splunk 上搜索 5 分钟时间范围内的一些数据。我希望此查询在每 5 分钟后在 splunk 中自行查询 运行。如何才能做到这一点?我试着在 splunk 上找到它,但我只能看到如何安排警报和报告。而在激活查询后,我们如何访问查询生成的结果呢?
从技术上讲,您可以进行预定搜索,但只有谈论报告或警报才有意义。您的预定方法实际上是最佳做法(因为也有可能进行最后 5 分钟的实时搜索)。
- 如果您只想要一份报告,您可以告诉 Splunk 以 HTML table 或 PDF 文档的形式通过电子邮件将其发送给您。
- 如果您只想在某些条件匹配时收到提醒(即超过 X 个结果),那么您需要设置提醒。
- 可以使用预定搜索,但访问起来有点棘手(恕我直言)
在 alerts/reports 计划选项中,您必须设置以下内容:
- 最早:
-6m@m
- 最新:
-1m@m
- Cron 表达式:
*/5 * * * *
不要忘记设置一些触发条件(用于警报)或传递方法(用于报告);)
我正在 splunk 上搜索 5 分钟时间范围内的一些数据。我希望此查询在每 5 分钟后在 splunk 中自行查询 运行。如何才能做到这一点?我试着在 splunk 上找到它,但我只能看到如何安排警报和报告。而在激活查询后,我们如何访问查询生成的结果呢?
从技术上讲,您可以进行预定搜索,但只有谈论报告或警报才有意义。您的预定方法实际上是最佳做法(因为也有可能进行最后 5 分钟的实时搜索)。
- 如果您只想要一份报告,您可以告诉 Splunk 以 HTML table 或 PDF 文档的形式通过电子邮件将其发送给您。
- 如果您只想在某些条件匹配时收到提醒(即超过 X 个结果),那么您需要设置提醒。
- 可以使用预定搜索,但访问起来有点棘手(恕我直言)
在 alerts/reports 计划选项中,您必须设置以下内容:
- 最早:
-6m@m - 最新:
-1m@m - Cron 表达式:
*/5 * * * *
不要忘记设置一些触发条件(用于警报)或传递方法(用于报告);)