search - 如何安排搜索在 Splunk 中每 5 分钟运行一次？-6ren

search - 如何安排搜索在 Splunk 中每 5 分钟运行一次？

转载作者：行者123 更新时间：2023-12-05 08:57:25

27

4

我正在 splunk 上搜索 5 分钟时间范围内的一些数据。我希望此查询每 5 分钟在 splunk 中自行运行一次。如何才能做到这一点？我试着在 splunk 上找到它，但我只能看到如何安排警报和报告。以及在激活查询后，我们如何访问查询生成的结果？

最佳答案

从技术上讲，您可以进行预定搜索，但只有在谈论报告或警报时才有意义。您的预定方法实际上是最佳做法(因为也有可能对最后 5 分钟进行实时搜索)。

如果您只需要一份报告，您可以告诉 Splunk 以 HTML 表格或 PDF 文档的形式通过电子邮件将其发送给您。
如果您只想在某些条件匹配时收到提醒(即超过 X 个结果)，那么您需要设置提醒。
可以使用预定搜索，但访问起来有点棘手(恕我直言)

在警报/报告计划选项中，您必须设置以下内容:

最早:-6m@m
最新:-1m@m
Cron 表达式:*/5 * * * *

不要忘记设置一些触发条件(用于警报)或传递方法(用于报告);)

关于search - 如何安排搜索在 Splunk 中每 5 分钟运行一次？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33121931/

27

4

0

文章推荐： module - Verilog 错误 : Must be connected to a structural net expression

文章推荐： PHP:突出显示表格的每一行

文章推荐： r - 将指数添加到轴标签 (R/ggplot2)

splunk - 使用另一个 splunk 查询的结果过滤 splunk 结果
我想在 splunk 中使用查询，提取字段列表，然后使用这些结果字段进一步过滤我后续的 splunk 查询。我该怎么做？最佳答案 FORMAT 命令对此特别有用。这是一个过于简单的示例，但应该让您了
splunk - 如何计算两个事件之间的持续时间 Splunk
我需要找到两个事件之间的持续时间。我在 splunk 上查看了解决方案和 Stack Overflow，但仍然无法得到计算结果。 sentToSave 和 SaveDoc 都已格式化时间戳，这就是我使
splunk - 如何计算两个事件之间的持续时间 Splunk
我需要找到两个事件之间的持续时间。我在 splunk 上查看了解决方案和 Stack Overflow，但仍然无法得到计算结果。 sentToSave 和 SaveDoc 都已格式化时间戳，这就是我使
splunk - 如何有条件地创建 splunk 字段别名？
我正在尝试将来自两个不同日志的信息合并到一个查询中，但我不确定如何或是否可以做到这一点。本质上我想这样做: LOG 1: LOG 2: fooid=1234 speed=500 fooid=54
splunk - splunk 中的负正则表达式(不使用字段)
在不提取字段的情况下，我想搜索不包含“country=$”的任何事件，即事件不得以“country=”结尾。我可以将其正则表达式为“country=(?!$)”，但这仍然需要国家/地区出现在事件中，这
splunk - 为 Splunk 中的变量赋值并在搜索中使用该值
我有一个用例，我想根据条件将值设置为一个变量，并在搜索命令中使用该变量。例子:-我要检查条件 if account_no=818 then var1="vpc-06b" el
splunk - splunk "ifnull"函数的文档？
我们在一个 Splunk 查询中使用了 ifnull 函数(是的，ifnull 而不是 isnull)，我想看看只是为了确定逻辑，但我无法在任何地方找到它的记录。是referenced in a f
splunk - 如何在 Splunk 中统计结果并将其放入表格中？
我正在尝试在 Splunk 中创建一个表，其中包含提取的多个字段以及当我向 Splunk 提供要搜索的字符串时返回的条目总数。我遇到的问题是，当我使用 stats 命令获取返回结果的计数并将其通过管道
splunk - 统计计数 Splunk 查询
我想知道是否有人可以帮助我。我发表了以下关于我正在尝试编写的 Splunk 查询的帖子: https://answers.splunk.com/answers/724223/in-a-table-p
splunk - 如何在 Splunk 中统计结果并将其放入表格中？
我正在尝试在 Splunk 中创建一个表，其中包含提取的多个字段以及当我向 Splunk 提供要搜索的字符串时返回的条目总数。我遇到的问题是，当我使用 stats 命令获取返回结果的计数并将其通过管道
splunk - 查询以循环遍历 splunk 中的数据
我的日志中有以下几行: ...useremail=abc@fdsf.com id=1234 .... ...useremail=pqr@fdsf.com id=4565 .... ...userema
splunk - 如何在 Splunk 中搜索每天的给定时间范围？
我正在尝试在 Splunk 中搜索在特定时间范围内发生的事件，但我希望该搜索包含我索引的所有数据，这些数据涵盖了广泛的日期范围。例如，我想查看索引日志文件中的一行是否在我已索引的 25 天日志中的上
docker - 无法在 Kubernetes 上挂载 Splunk 配置 - 错误 : Couldn't read "/opt/splunk/etc/splunk-launch. conf
我正在使用 this Kubernetes 上的 Splunk 镜像(使用 minikube 进行本地测试)。应用下面的代码后，我面临以下错误: ERROR: Couldn't read "/opt
splunk - 为什么要创建 splunk 仪表板与 View ？
我试图弄清楚为什么有人想要在 Splunk 中创建仪表板。 View 允许您添加表单以及任何图表和搜索，而仪表板则不允许。那么，我为什么要制作仪表板？一个比另一个有什么优势吗？最佳答案嗯.....
splunk - 如何获取特定 splunk 事件的 url？
如何从搜索返回的 splunk 事件列表中获取特定 splunk 事件的 url？如果这是不可能的，并且我需要创建一个只返回该事件的搜索，那么我可以在查询中使用的每个事件是否有一些唯一的 ID？最
splunk - 在 Splunk 查询中对 "earliest"使用亚秒精度
我有一个 Splunk 搜索字符串。如果我添加 earliest=10/05/2020:23:59:58，搜索字符串仍然有效。但是，如果我将其更改为 earliest=10/05/2020:23:59
splunk - 使用 Alpine 基础镜像创建 Splunk 通用转发器
我正在尝试使用 alpine:3.8 基础镜像创建一个 Splunk 通用转发器镜像。 FROM alpine:3.8 ENV SPLUNK_PRODUCT universalforwarder EN
splunk - 如何在 Splunk 中解析 JSON 指标数组
我从 API 收到以下格式的 JSON: [ { "scId": "000DD2", "sensorId": 2, "metrics": [ {
splunk - 如何设置 Splunk 以接收来自 Serilog/.Net 的日志记录？
我尝试编写一个 c# 程序，通过 serilog 记录器记录到 splunk。我尝试设置 splunk 来监听日志记录。全部在我的本地机器上运行。我的猜测是我没有正确配置 Splunk。
splunk - 如何在 Splunk 中准确计算第 99.9 个百分位数
有谁知道如何在 Splunk 中准确计算第 99.9 个百分位数？我尝试了如下多种方法，例如 exactperc(但这只需要整数百分位数)和 perc(但这非常接近结果)。 base | stats

首页

博学

6Ren·AI

商城

search - 如何安排搜索在 Splunk 中每 5 分钟运行一次？