- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 分享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢表
- Splunk - 排程和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖表
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 排程和告警
排程是設定觸發器以自動執行報表而無需使用者干預的過程。以下是排程報表的用途:
透過以不同的時間間隔(每月、每週或每日)執行相同的報表,我們可以獲得該特定時段的結果。
提高儀表盤效能,因為報表在使用者開啟儀表盤之前在後臺完成執行。
報表執行完成後,自動透過電子郵件傳送報表。
建立排程
透過編輯報表的排程功能來建立排程。我們轉到“編輯”按鈕上的“編輯排程”選項,如下面的影像所示。
單擊“編輯排程”按鈕後,我們將看到下一個螢幕,其中列出了建立排程的所有選項。
在下面的示例中,我們採用所有預設選項,並將報表計劃為每週星期一上午 6 點執行。
排程的重要功能
以下是排程的重要功能:
時間範圍 - 它指示報表必須從中提取資料的時段。它可以是最近 15 分鐘、最近 4 小時或上週等。
排程優先順序 - 如果多個報表同時排程,則這將確定特定報表的優先順序。
排程視窗 - 當有多個具有相同優先順序的報表排程時,我們可以選擇一個時間視窗,這將幫助報表在此視窗內的任何時間執行。如果它是 5 分鐘,則報表將在其計劃時間的 5 分鐘內執行。這有助於透過分散其執行時間來提高計劃報表的效能。
排程操作
排程操作旨在在報表執行後執行某些步驟。例如,您可能希望傳送一封電子郵件,說明報表的執行狀態或執行另一個指令碼。可以透過單擊“新增操作”按鈕設定選項來執行此類操作,如下所示:
告警
Splunk 告警是在滿足使用者定義的特定條件時觸發的操作。告警的目標可以是記錄操作、傳送電子郵件或將結果輸出到查詢表文件等。
建立告警
您可以透過執行搜尋查詢並將結果儲存為告警來建立告警。在下面的螢幕截圖中,我們搜尋每日檔案計數並將結果儲存為告警,方法是選擇“另存為”選項。
在下一個螢幕截圖中,我們配置告警屬性。下圖顯示了配置螢幕:
下面解釋了每個選項的目的和選擇:
標題 - 這是告警的名稱。
描述 - 這是對告警作用的詳細描述。
許可權 - 其值決定誰可以訪問、執行或編輯告警。如果宣告為私有,則只有告警的建立者擁有所有許可權。要被其他人訪問,應將選項更改為在應用中共享。在這種情況下,每個人都有讀取許可權,但只有高階使用者才有編輯告警的許可權。
告警型別 - 計劃告警以預定義的時間間隔執行,其執行時間由下拉選單中選擇的日期和時間定義。但是,即時告警的另一個選項會導致搜尋在後臺連續執行。每當滿足條件時,都會執行告警操作。
觸發條件 - 觸發條件檢查觸發器中提到的條件,並且只有在滿足告警條件時才啟動更改。您可以定義搜尋結果中的結果數、源數或主機數來觸發告警。如果將其設定為一次,則只有在滿足結果條件時才會執行一次,但如果將其設定為對於每個結果,則它將針對結果集中滿足觸發條件的每一行執行。
觸發操作 - 當滿足觸發條件時,觸發操作可以提供所需的輸出或傳送電子郵件。下圖顯示了 Splunk 中一些重要的觸發操作。
