- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 时间表和警报
计划是设置触发器以自动运行报告而无需用户干预的过程。以下是安排报告的用途 -
通过以不同的时间间隔(每月、每周或每天)运行相同的报告,我们可以获得该特定时期的结果。
由于报表在用户打开仪表板之前在后台完成运行,因此提高了仪表板的性能。
运行完成后通过电子邮件自动发送报告。
创建时间表
通过编辑报告的计划功能来创建计划。我们转到“编辑”按钮上的“编辑计划”选项,如下图所示。
单击编辑计划按钮后,我们将看到下一个屏幕,其中列出了用于创建计划的所有选项。
在下面的示例中,我们采用所有默认选项,报告计划每周一上午 6 点运行。
调度的重要特征
以下是调度的重要特征 -
时间范围- 它指示报告必须从中获取数据的时间范围。可以是过去 15 分钟、过去 4 小时或上周等。
计划优先级- 如果同时计划多个报告,则这将确定特定报告的优先级。
计划窗口- 当有多个具有相同优先级的报告计划时,我们可以选择一个时间窗口,这将有助于报告在此窗口期间随时运行。如果是 5 分钟,则报告将在其计划时间的 5 分钟内运行。这有助于通过分散运行时间来提高计划报告的性能。
安排行动
计划操作旨在在报告运行后采取一些步骤。例如,您可能想要发送一封电子邮件,说明报告的运行状态或运行另一个脚本。可以通过单击“添加操作”按钮设置选项来执行此类操作,如下所示 -
警报
Splunk 警报是在满足用户定义的特定标准时触发的操作。警报的目标可以是记录操作、发送电子邮件或将结果输出到查找文件等。
创建警报
您可以通过运行搜索查询并将其结果保存为警报来创建警报。在下面的屏幕截图中,我们搜索每日文件计数,并通过选择“另存为”选项将结果保存为警报。
在下一个屏幕截图中,我们配置警报属性。下图显示了配置屏幕 -
每个选项的目的和选择解释如下 -
标题- 这是警报的名称。
描述- 这是警报功能的详细描述。
权限- 它的值决定谁可以访问、运行或编辑警报。如果声明为私有,则只有警报的创建者拥有所有权限。要被其他人访问,该选项应更改为Shared in App。在这种情况下,每个人都具有读取权限,但只有高级用户具有警报的编辑权限。
警报类型- 计划警报按预定义的时间间隔运行,其运行时间由从下拉列表中选择的日期和时间定义。但实时警报的另一个选项会导致搜索在后台持续运行。每当满足条件时,就会执行警报操作。
触发条件- 触发条件检查触发器中提到的条件,并仅在满足警报条件时才触发更改。您可以定义搜索结果中的结果数量、源数量或主机数量来触发警报。如果设置为一次,则仅在满足结果条件时执行一次,但如果设置为For every Result,则将对结果集中满足触发条件的每一行运行。
触发操作- 触发操作可以在满足触发条件时提供所需的输出或发送电子邮件。下图显示了 Splunk 中可用的一些重要触发操作。
