Splunk - 计划和警报

计划是设置触发器以自动运行报告而无需用户干预的过程。以下是计划报告的用途 −

创建计划

通过编辑报告的计划功能可以创建计划。我们转到"编辑"按钮上的编辑计划选项，如下图所示。

单击编辑计划按钮后，我们将看到下一个屏幕，其中列出了创建计划的所有选项。

在下面的示例中，我们采用所有默认选项，报告计划于每周一上午 6 点运行。

以下是计划的重要功能 −

时间范围 −它表示报告必须从中获取数据的时间范围。它可以是过去 15 分钟、过去 4 小时或上周等。
计划优先级 − 如果同时安排了多个报告，则这将确定特定报告的优先级。
计划窗口 − 当有多个具有相同优先级的报告计划时，我们可以选择一个时间窗口，这将有助于报告在此窗口期间的任何时间运行。如果是 5 分钟，则报告将在其计划时间的 5 分钟内运行。这有助于通过分散运行时间来提高计划报告的性能。

计划操作旨在在报告运行后采取一些步骤。例如，您可能希望发送一封电子邮件来说明报告的运行状态或运行另一个脚本。可以通过单击添加操作按钮设置选项来执行此类操作，如下所示 −

Splunk 警报是当满足用户定义的特定条件时触发的操作。警报的目的可以是记录操作、发送电子邮件或将结果输出到查找文件等。

您可以通过运行搜索查询并将其结果保存为警报来创建警报。在下面的屏幕截图中，我们搜索按天的文件计数，并通过选择另存为选项将结果保存为警报。

在下一个屏幕截图中，我们配置警报属性。下图显示配置屏幕 −

下面解释了每个选项的用途和选择 −

标题 − 这是警报的名称。
描述 −这是警报功能的详细描述。
权限 − 其值决定了谁可以访问、运行或编辑警报。如果声明为私有，则只有警报的创建者拥有所有权限。要让其他人访问，应将选项更改为在应用程序中共享。在这种情况下，每个人都有读取权限，但只有高级用户才有编辑警报的权限。
警报类型 − 计划警报以预定义的间隔运行，其运行时间由从下拉菜单中选择的日期和时间定义。但实时警报上的另一个选项会导致搜索在后台连续运行。只要满足条件，就会执行警报操作。
触发条件 − 触发条件检查触发器中提到的条件，并且仅在满足警报条件时触发更改。您可以定义搜索结果中触发警报的结果数、源数或主机数。如果设置为一次，则在满足结果条件时仅执行一次，但如果设置为对于每个结果，则它将针对结果集中满足触发条件的每一行运行。
触发操作 − 触发操作可以提供所需的输出或在满足触发条件时发送电子邮件。下图显示了 Splunk 中可用的一些重要触发操作。