Splunk - 如何使用以下条件创建 splunk 搜索和警报以发送电子邮件？

这些是我们的标准 -

• 数据每 15 分钟出现一次
• 如果特定主机的数据库状态已关闭 45 分钟（即每 15 分钟就有一次数据计数），我们需要触发警报来创建票证。
• 我们不需要在 48 小时内为这些主机创建票证。即使 48 小时后问题仍然存在，我们也会创建一个新票证。

Splunk 搜索可在 45 分钟内关闭数据库

index=abc db.status= “0” earliest=-45m@m | stats count by host  | wherr count > 3

我已经弄清楚如何在触发警报后创建票证。

我在确保在票证创建中不重复主机时遇到问题。