Solved: アラート（サーチ）の設定方法について

morita · ‎09-13-2013

あるイベントが発生するとテキストファイルに1行ずつ文字列が追加されるようになっています。

新しく追加された文字列中に特定のキーワードが入っているとリアルタイムにアラートが発生するようにしたいのですがうまくいきません。

source="～～～/test" | head 1 | search keyword
のようにサーチしていますが，どのような文字列が追加されてもアラートが生成されてしまいます。
そのファイルの中に過去に追加された"keyword"が入っていればアラートが生成されてしまうみたいです。
新たに追加された行のみをアラートの対象にしたいのですが，どうすればよいでしょうか。

宜しくお願い致します。

HiroshiSatoh · ‎09-16-2013

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか？書かれているサーチ文だけみると最初の１件を抽出してそこからさらにサーチするという動きです。

View solution in original post

melonman · ‎10-09-2013

Splunkのリアルタイムサーチ＆アラートは最新の情報しかみていないとおもいますので、
head 1は不要で、単純に、

source="～～～/test" keyword

というサーチをリアルタイムアラートとして保存すればいけるとおもいます。
イベントにkeywordが含まれるものが入ってくるタイミングで、アラートが発生するとおもいますよ。

HiroshiSatoh · ‎09-16-2013

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか？書かれているサーチ文だけみると最初の１件を抽出してそこからさらにサーチするという動きです。

アラート（サーチ）の設定方法について

.conf24 | Registration Open!

ICYMI - Check out the latest releases of Splunk Edge Processor

Introducing the 2024 SplunkTrust!