- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查询表
- Splunk - 调度和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 调度和告警
调度是设置触发器以自动运行报表而无需用户干预的过程。以下是调度报表的用途:
通过以不同的时间间隔(每月、每周或每日)运行相同的报表,我们可以获得该特定时段的结果。
提高仪表盘性能,因为报表在用户打开仪表盘之前在后台完成运行。
报表运行完成后,自动通过电子邮件发送报表。
创建调度
通过编辑报表的调度功能来创建调度。我们转到“编辑”按钮上的“编辑调度”选项,如下面的图像所示。
单击“编辑调度”按钮后,我们将看到下一个屏幕,其中列出了创建调度的所有选项。
在下面的示例中,我们采用所有默认选项,并将报表计划为每周星期一上午 6 点运行。
调度的重要功能
以下是调度的重要功能:
时间范围 - 它指示报表必须从中提取数据的时段。它可以是最近 15 分钟、最近 4 小时或上周等。
调度优先级 - 如果多个报表同时调度,则这将确定特定报表的优先级。
调度窗口 - 当有多个具有相同优先级的报表调度时,我们可以选择一个时间窗口,这将帮助报表在此窗口内的任何时间运行。如果它是 5 分钟,则报表将在其计划时间的 5 分钟内运行。这有助于通过分散其运行时间来提高计划报表的性能。
调度操作
调度操作旨在在报表运行后执行某些步骤。例如,您可能希望发送一封电子邮件,说明报表的运行状态或运行另一个脚本。可以通过单击“添加操作”按钮设置选项来执行此类操作,如下所示:
告警
Splunk 告警是在满足用户定义的特定条件时触发的操作。告警的目标可以是记录操作、发送电子邮件或将结果输出到查询表文件等。
创建告警
您可以通过运行搜索查询并将结果保存为告警来创建告警。在下面的屏幕截图中,我们搜索每日文件计数并将结果保存为告警,方法是选择“另存为”选项。
在下一个屏幕截图中,我们配置告警属性。下图显示了配置屏幕:
下面解释了每个选项的目的和选择:
标题 - 这是告警的名称。
描述 - 这是对告警作用的详细描述。
权限 - 其值决定谁可以访问、运行或编辑告警。如果声明为私有,则只有告警的创建者拥有所有权限。要被其他人访问,应将选项更改为在应用中共享。在这种情况下,每个人都有读取权限,但只有高级用户才有编辑告警的权限。
告警类型 - 计划告警以预定义的时间间隔运行,其运行时间由下拉菜单中选择的日期和时间定义。但是,实时告警的另一个选项会导致搜索在后台连续运行。每当满足条件时,都会执行告警操作。
触发条件 - 触发条件检查触发器中提到的条件,并且只有在满足告警条件时才启动更改。您可以定义搜索结果中的结果数、源数或主机数来触发告警。如果将其设置为一次,则只有在满足结果条件时才会执行一次,但如果将其设置为对于每个结果,则它将针对结果集中满足触发条件的每一行运行。
触发操作 - 当满足触发条件时,触发操作可以提供所需的输出或发送电子邮件。下图显示了 Splunk 中一些重要的触发操作。
