0
我已经设置了splunk警报。但是,当应用程序服务器重新启动时,会创建许多触发这些警报的日志条目。我希望忽略这些日志条目或在应用程序服务器重新启动时忽略警报。处理服务器重新启动分段警报
能够做到这一点,有没有一种方法来注释splunk时间轴?这样我可以注释时间线,当人们得到警报时,他们可以打开报告并看到服务器重新启动。其他具有时间线的工具允许这种类型的注释。
我已经设置了splunk警报。但是,当应用程序服务器重新启动时,会创建许多触发这些警报的日志条目。我希望忽略这些日志条目或在应用程序服务器重新启动时忽略警报。处理服务器重新启动分段警报
能够做到这一点,有没有一种方法来注释splunk时间轴?这样我可以注释时间线,当人们得到警报时,他们可以打开报告并看到服务器重新启动。其他具有时间线的工具允许这种类型的注释。
实现“安全工作时间”的最佳方式是使用查找文件。 使用date_day date_hour类型的字段设置安全时间,然后使用servername作为查找字段来获取数据,然后使用where子句过滤掉安全时间。
查找文件
host safe_begin safe_end
myHost 1900 2200
查询:
.... | where date_hour!>=safe_begin AND date_hour!<=safe_end
后,设置相应的警示。