我很天意,我必须优先完成这项任务,我想为部署在PCF上的多个api设置警报,例如。
API-NAME:Error1,Error2,3 ..
API-NAME2:Error1,Error2,3。
API-NAME3:错误1,错误2.3。
每个api的错误都是一样的。
如何编写splunk查询以提高上述条件的警报。
我以为我会简单地使用或条件来创建查询
像Error1或Error 2
但这将创建一个全局警报,我不希望这样。
我不能在查询中使用API名称,因为api名称记录在很多条件(信息,调试等),这在很多情况下都不必创建警报,
* API只是调用后端服务器的URL。
它看起来像这样
... | eval API-NAME=if(API-NAME AND (Error1 OR Error2),"Alert","No Issue")
| search API-NAME="Alert"
| table API-NAME
如果您有许多条件,也可以使用案例陈述
然后,您应该创建自定义警报