如何为我的查询中出现的每颗星触发 splunk 警报

Posted 2023-03-13

【中文标题】如何为我的查询中出现的每颗星触发 splunk 警报

【英文标题】：How to trigger spunk alert for every stat that appears on my query

【发布时间】：2020-05-12 18:51:01

【问题描述】：

我目前有一个查询会显示几个统计信息，“统计信息 (5)”

我使用此查询来获取这些统计信息：

index=ms-app  environment=prod AND "*"
| eval uri=replace(mvindex(split('request.uri', "?"), 0), "\/\d+[-+\w]+", "/:n"), methodOverride='request.headers.X-HTTP-Method-Override'
| eval methodOverrideStr = if(isnull(methodOverride) OR methodOverride=="null", "", "(" + methodOverride + ")")
| eval request = 'request.method' + methodOverrideStr + " " + uri + " " + 'response.httpStatusCode'
| stats
median(stats.overallResponseTimeInMilliSeconds) as "Median"
| table request, "Median" > 3000 | where Median > 3000

我想创建一个每次出现一个统计信息时都会触发的警报

目前我的触发器设置如下：

然后我有一个动作，它会在触发时转到我创建的松弛通道。

但是，尽管在我的查询的“统计”部分有结果，但我从来没有看到它在我的松弛中被触发

【参考方案1】：

Number of Resultsis greater than0时最好使用Trigger alert。

您的触发警报条件无效。您可以使用where count > 1 之类的内容，并在搜索表达式的末尾包含stats count。不过这太复杂了。

您似乎还想每分钟搜索 7 天的数据。根据数量，这可能是一个昂贵的查询。最好看看其他选项，例如摘要索引。