在可在 OpsGenie 中访问的 Splunk OpsGenie 应用程序中设置优先级

Posted 2023-03-13

【中文标题】在可在 OpsGenie 中访问的 Splunk OpsGenie 应用程序中设置优先级

【英文标题】：Set priority in Splunk OpsGenie App that is accessible in OpsGenie

【发布时间】：2020-04-06 17:41:57

【问题描述】：

我创建了一些 Splunk 警报并通过 Opsgenie App 成功触发 OpsGenie， 现在我想在警报中设置优先级。但是缺少与优先级相关的字段。这些是从 REST API 返回的：

action.opsgenie.command
action.opsgenie.description
action.opsgenie.forceCsvResults
action.opsgenie.hostname
action.opsgenie.icon_path
action.opsgenie.is_custom
action.opsgenie.label
action.opsgenie.maxresults
action.opsgenie.maxtime
action.opsgenie.payload_format
action.opsgenie.track_alert
action.opsgenie.ttl

在 Splunk UI 中只能设置api_url (action.opsgenie.param.api_url)

如何设置优先级或自定义字段，然后在 OpsGenie 的 Splunk 集成中访问它？

【参考方案1】：

我联系了 Opsgenie 支持部门寻求指导，并被告知我可以试用 _payload 字段以查看所有可用字段。

_payload:

app=search, 
configuration=
                api_url=132-123-123-123
              , 
server_host=foo, 
sid='',
result=, 
results_file=...,
results_link=...,
session_key=...,
search_uri=...,
search_name=my_alert 
server_uri=https://foobar

所以api_url 出现在配置对象中。有趣的。 我添加了一个名为 action.opsgenie.param.prio=P5 的自定义字段，它也以 _payload 结尾：

configuration=
                api_url=132-123-123-123,
                prio=P5
              , 

我现在可以通过以下方式在 Splunk 集成中访问它： _payload.configuration.prio

最好的办法是 OpsGenie 添加一个特定字段作为优先级，以便可以预先配置 Opsgenie 中的 Splunk 应用程序。但我想这已经足够好了。

我希望这对其他人也有用