我有许多警报,如果没有结果,则会触发这些警报。但是,偶尔我们的杂项搜索会下降一分钟,从而触发所有这些警报。
我不负责splunk服务器,因此我无法做任何事情来提高它的搜索能力。但是,我可以修改警报的查询。我不是在寻找有关如何保持搜索的建议。它不在我的手中。
有没有一种方法可以修改搜索以检查搜索是否正常?好像总是从搜索中返回至少1个结果,然后我可以修改警报以在只有1个结果而不是0时触发警报。
因此,伪查询将类似于:如果搜索正常,则查询仅返回1个结果|将这些结果附加到预期> 0结果的原始splunk查询中
使用makeresults可能足以生成您要关注的事件。
| makeresults | eval msg="makeresults generates a single event by default" | append [ your other search ]
但是,您的用例是搜索最后几分钟的数据,这就是为什么您的搜索返回0个结果吗?最佳做法是将最新时间设为几分钟前,以避免由于日志传输或中断而造成任何延迟。例如,最早搜索= -15m,最新搜索= -5m,然后每10分钟运行一次此搜索。