我是 Splunk 的新手,在设置自定义警报时遇到问题。 结果如表1所示。 我试过下面以红色突出显示的那个不起作用。
如何配置这两个值,即 DCOEtransfercount 和 NDMCopycount?
注意:忽略两个表中的 DCOEtransfercount/NDMCopycount 标签。
我发现将触发条件放在搜索中并在结果数量不为零时触发警报变得更加容易和简单。
<<your current search>>
| where (DCOEtransfercount=1 AND NDNCopycount=1)
Splunk 是区分大小写的......除非它不是:)
默认
search
ANDs
但是如果你想 明确,你 must 全大写
AND
- 就像你一样 must 全大写 OR
:
index=ndx sourcetype=srctp "someval" "someotherval"
和一样吗:
index=ndx AND sourcetype=srctp AND "someval" AND "someotherval"
Splunk 将“and”视为要查找的原始文本,而“AND”是一个运算符
所以这应该是您要查找的内容(尽管我通常同意@RichG 的answer,其中他说您应该在警报中创建过滤器,并且仅在结果大于 0 时才发送):
search NDMCopycount=1 DCOEtransfercount=* NOT (DCOEtransfercount IN(0,1))