Alerting

アラート(サーチ)の設定方法について

morita
New Member

あるイベントが発生するとテキストファイルに1行ずつ文字列が追加されるようになっています。

新しく追加された文字列中に特定のキーワードが入っているとリアルタイムにアラートが発生するようにしたいのですがうまくいきません。

source="~~~/test" | head 1 | search keyword
のようにサーチしていますが,どのような文字列が追加されてもアラートが生成されてしまいます。
そのファイルの中に過去に追加された"keyword"が入っていればアラートが生成されてしまうみたいです。
新たに追加された行のみをアラートの対象にしたいのですが,どうすればよいでしょうか。

宜しくお願い致します。

Tags (2)
0 Karma
1 Solution

HiroshiSatoh
Champion

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか?書かれているサーチ文だけみると最初の1件を抽出してそこからさらにサーチするという動きです。

View solution in original post

0 Karma

melonman
Motivator

Splunkのリアルタイムサーチ&アラートは最新の情報しかみていないとおもいますので、
head 1は不要で、単純に、

source="~~~/test" keyword

というサーチをリアルタイムアラートとして保存すればいけるとおもいます。
イベントにkeywordが含まれるものが入ってくるタイミングで、アラートが発生するとおもいますよ。

0 Karma

HiroshiSatoh
Champion

まだ問題解決していないようであれば、サーチ文とsavedsearches.confの設定を問題ない範囲ですべて記述してもらってよいですか?書かれているサーチ文だけみると最初の1件を抽出してそこからさらにサーチするという動きです。

0 Karma
Get Updates on the Splunk Community!

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...

What's new in Splunk Cloud Platform 9.1.2312?

Hi Splunky people! We are excited to share the newest updates in Splunk Cloud Platform 9.1.2312! Analysts can ...

What’s New in Splunk Security Essentials 3.8.0?

Splunk Security Essentials (SSE) is an app that can amplify the power of your existing Splunk Cloud Platform, ...