Solved: Re: アラート（サーチ）の設定方法について

morita · ‎09-13-2013

あるイベントが発生するとテキストファイルに1行ずつ文字列が追加されるようになっています。

新しく追加された文字列中に特定のキーワードが入っているとリアルタイムにアラートが発生するようにしたいのですがうまくいきません。

source="～～～/test" | head 1 | search keyword
のようにサーチしていますが，どのような文字列が追加されてもアラートが生成されてしまいます。
そのファイルの中に過去に追加された"keyword"が入っていればアラートが生成されてしまうみたいです。
新たに追加された行のみをアラートの対象にしたいのですが，どうすればよいでしょうか。

宜しくお願い致します。

HiroshiSatoh · ‎09-16-2013

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか？書かれているサーチ文だけみると最初の１件を抽出してそこからさらにサーチするという動きです。

View solution in original post

melonman · ‎10-09-2013

Splunkのリアルタイムサーチ＆アラートは最新の情報しかみていないとおもいますので、
head 1は不要で、単純に、

source="～～～/test" keyword

というサーチをリアルタイムアラートとして保存すればいけるとおもいます。
イベントにkeywordが含まれるものが入ってくるタイミングで、アラートが発生するとおもいますよ。

HiroshiSatoh · ‎09-16-2013

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか？書かれているサーチ文だけみると最初の１件を抽出してそこからさらにサーチするという動きです。

アラート（サーチ）の設定方法について

Splunk Decoded: Service Maps vs Service Analyzer Tree View vs Flow Maps

What’s New in Splunk Observability – September 2025

Fun with Regular Expression - multiples of nine

Are you a member of the Splunk Community?

アラート（サーチ）の設定方法について

Splunk Decoded: Service Maps vs Service Analyzer Tree View vs Flow Maps

What’s New in Splunk Observability – September 2025

Fun with Regular Expression - multiples of nine