如何安排搜索在Splunk中每5分钟运行一次？

Question

我正在寻找关于splunk的一些数据,持续5分钟的时间范围.我希望这个查询在splunk上每隔5分钟运行一次.如何才能做到这一点？我尝试在splunk上找到它,但我能看到的是如何安排警报和报告.在激活查询后,我们如何访问查询生成的结果？

Answer 1

从技术上讲,您可以进行预定搜索,但只讨论报告或警报才有意义.您的预定方法实际上是最佳实践(因为还有可能实时搜索最后5分钟).

• 如果您只想要一份报告,您可以告诉Splunk将其作为HTML表格或PDF文档发送给您.
• 如果您只想在某些条件匹配时收到警报(即超过X个结果),那么您需要设置警报.
• 可以使用预定搜索,但访问它们有点棘手(imho)

在警报/报告计划选项中,您必须设置以下内容:

• 最早: -6m@m
• 最新: -1m@m
• Cron表达: */5 * * * *

不要忘记设置一些触发条件(用于警报)或交付方法(用于报告);)