Splunk 计划和警报

计划是设置触发器以自动运行报告而无需用户干预的过程。以下是调度报告的用途：

• 通过以不同的时间间隔运行相同的报告：每月、每周或每天，我们可以获得该特定时期的结果。

• 改进了仪表板的性能，因为报表在用户打开仪表板之前在后台完成运行。

• 运行完成后通过电子邮件自动发送报告。

创建计划

通过编辑报告的计划功能来创建计划。我们去 编辑时间表 编辑按钮上的选项，如下图所示。

单击编辑计划按钮后，我们将进入下一个屏幕，其中列出了用于创建计划的所有选项。

在下面的示例中，我们采用所有默认选项，并且报告计划在每周一上午 6 点运行。

调度的重要特征

以下是调度的重要特点：

• 时间范围 ： 表示报表必须取数据的时间范围。它可以持续 15 分钟、持续 4 小时或上周等。

• 调度优先级 ： 如果同时安排了多个报告，则这将确定特定报告的优先级。

• 计划窗口 ： 当有多个具有相同优先级的报表计划时，我们可以选择一个时间窗口，以帮助报表在此窗口期间的任何时间运行。如果是 5 分钟，则报告将在其预定时间的 5 分钟内运行。这有助于通过分散运行时间来提高计划报告的性能。

安排行动

计划操作旨在在报告运行后采取一些步骤。例如，你可能想要发送一封说明报告运行状态的电子邮件或运行另一个脚本。可以通过单击设置选项来执行此类操作 添加操作 按钮如下图：

Alerts

Splunk 警报是在满足用户定义的特定标准时触发的操作。警报的目标可以是记录操作、发送电子邮件或将结果输出到查找文件等。

创建警报

你可以通过运行搜索查询并将其结果保存为警报来创建警报。在下面的屏幕截图中，我们搜索按日文件计数并通过选择 Save As option.

在下一个屏幕截图中，我们配置警报属性。下图为配置画面：

下面解释每个选项的目的和选择：

• Title ： 是警报的名称。

• 描述 ： 是alert做什么的详细说明。

• 允许 ：它的值决定了谁可以访问、运行或编辑警报。如果声明为私有，则只有警报的创建者拥有所有权限。要被其他人访问，该选项应更改为 在应用程序中共享 .在这种情况下，每个人都具有读取权限，但只有高级用户具有警报的编辑权限。

• 警报类型 ： 预定的警报以预定义的间隔运行，其运行时间由从下拉列表中选择的日期和时间定义。但是实时警报的另一个选项会导致搜索在后台连续运行。只要满足条件，就会执行警报操作。

• 触发条件 ：触发​​条件检查触发器中提到的条件，只有在满足警报条件时才触发alter。你可以在搜索结果中定义结果数或来源数或主机数以触发警报。如果设置为一次，则在结果条件满足时只执行一次，但如果设置为 For 每个结果，然后它将针对结果集中满足触发条件的每一行运行。

• 触发动作 ：触发​​动作可以在满足触发条件时给出想要的输出或发送电子邮件。下图显示了 Splunk 中可用的一些重要触发操作。