Alerting

アラート(サーチ)の設定方法について

morita
New Member

あるイベントが発生するとテキストファイルに1行ずつ文字列が追加されるようになっています。

新しく追加された文字列中に特定のキーワードが入っているとリアルタイムにアラートが発生するようにしたいのですがうまくいきません。

source="~~~/test" | head 1 | search keyword
のようにサーチしていますが,どのような文字列が追加されてもアラートが生成されてしまいます。
そのファイルの中に過去に追加された"keyword"が入っていればアラートが生成されてしまうみたいです。
新たに追加された行のみをアラートの対象にしたいのですが,どうすればよいでしょうか。

宜しくお願い致します。

Tags (2)
0 Karma
1 Solution

HiroshiSatoh
Champion

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか?書かれているサーチ文だけみると最初の1件を抽出してそこからさらにサーチするという動きです。

View solution in original post

0 Karma

melonman
Motivator

Splunkのリアルタイムサーチ&アラートは最新の情報しかみていないとおもいますので、
head 1は不要で、単純に、

source="~~~/test" keyword

というサーチをリアルタイムアラートとして保存すればいけるとおもいます。
イベントにkeywordが含まれるものが入ってくるタイミングで、アラートが発生するとおもいますよ。

0 Karma

HiroshiSatoh
Champion

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか?書かれているサーチ文だけみると最初の1件を抽出してそこからさらにサーチするという動きです。

0 Karma
Get Updates on the Splunk Community!

Observe and Secure All Apps with Splunk

  Join Us for Our Next Tech Talk: Observe and Secure All Apps with SplunkAs organizations continue to innovate ...

Splunk Decoded: Business Transactions vs Business IQ

It’s the morning of Black Friday, and your e-commerce site is handling 10x normal traffic. Orders are flowing, ...

Fastest way to demo Observability

I’ve been having a lot of fun learning about Kubernetes and Observability. I set myself an interesting ...