Splunk - Zeitpläne und Warnungen

Beim Planen wird ein Auslöser eingerichtet, mit dem der Bericht ohne Eingreifen des Benutzers automatisch ausgeführt wird. Nachfolgend finden Sie die Verwendungsmöglichkeiten für die Planung eines Berichts:

  • Wenn Sie denselben Bericht in verschiedenen Intervallen ausführen: monatlich, wöchentlich oder täglich, können Sie Ergebnisse für diesen bestimmten Zeitraum erzielen.

  • Verbesserte Leistung des Dashboards, da die Berichte im Hintergrund ausgeführt werden, bevor das Dashboard von den Benutzern geöffnet wird.

  • Senden von Berichten automatisch per E-Mail, nachdem die Ausführung abgeschlossen ist.

Erstellen eines Zeitplans

Ein Zeitplan wird erstellt, indem die Zeitplanfunktion des Berichts bearbeitet wird. Wir gehen zu derEdit Schedule Option auf der Schaltfläche Bearbeiten, wie in der Abbildung unten gezeigt.

Wenn Sie auf die Schaltfläche Zeitplan bearbeiten klicken, wird der nächste Bildschirm angezeigt, in dem alle Optionen zum Erstellen des Zeitplans aufgeführt sind.

Im folgenden Beispiel werden alle Standardoptionen verwendet. Der Bericht wird voraussichtlich jede Woche am Montag um 6 Uhr morgens ausgeführt.

Wichtige Funktionen der Zeitplanung

Im Folgenden sind die wichtigen Funktionen der Zeitplanung aufgeführt:

  • Time Range- Gibt den Zeitraum an, aus dem der Bericht die Daten abrufen muss. Es kann die letzten 15 Minuten, die letzten 4 Stunden oder die letzte Woche usw. sein.

  • Schedule Priority - Wenn mehr als ein Bericht gleichzeitig geplant ist, bestimmt dies die Priorität eines bestimmten Berichts.

  • Schedule Window- Wenn es mehrere Berichtszeitpläne mit derselben Priorität gibt, können wir ein Zeitfenster auswählen, mit dessen Hilfe der Bericht jederzeit in diesem Fenster ausgeführt werden kann. Wenn es 5 Minuten sind, wird der Bericht innerhalb von 5 Minuten nach seiner geplanten Zeit ausgeführt. Dies hilft bei der Verbesserung der Leistung der geplanten Berichte, indem deren Laufzeit verteilt wird.

Aktionen planen

Die Zeitplanaktionen sollen einige Schritte ausführen, nachdem der Bericht ausgeführt wurde. Beispielsweise möchten Sie möglicherweise eine E-Mail senden, in der der Ausführungsstatus des Berichts angegeben ist, oder ein anderes Skript ausführen. Solche Aktionen können ausgeführt werden, indem Sie die Option durch Klicken auf festlegenAdd Actions Taste wie unten gezeigt -

Warnungen

Splunk-Warnungen sind Aktionen, die ausgelöst werden, wenn ein bestimmtes vom Benutzer definiertes Kriterium erfüllt ist. Das Ziel von Warnungen kann das Protokollieren einer Aktion, das Senden einer E-Mail oder das Ausgeben eines Ergebnisses an eine Suchdatei usw. sein.

Alert erstellen

Sie erstellen eine Warnung, indem Sie eine Suchabfrage ausführen und das Ergebnis als Warnung speichern. Im folgenden Screenshot suchen wir nach der täglichen Anzahl der Dateien und speichern das Ergebnis als Warnung, indem wir die Option auswählenSave As Möglichkeit.

Im nächsten Screenshot konfigurieren wir die Warnungseigenschaften. Das folgende Bild zeigt den Konfigurationsbildschirm -

Der Zweck und die Auswahlmöglichkeiten jeder dieser Optionen werden nachstehend erläutert.

  • Title - Es ist der Name der Warnung.

  • Description - Dies ist die detaillierte Beschreibung der Funktion der Warnung.

  • Permission- Der Wert hat entschieden, wer auf die Warnung zugreifen, sie ausführen oder sie bearbeiten kann. Wenn als privat deklariert, verfügt nur der Ersteller der Warnung über alle Berechtigungen. Um für andere zugänglich zu sein, sollte die Option in geändert werdenShared in App. In diesem Fall hat jeder Lesezugriff, aber nur der Hauptbenutzer hat den Bearbeitungszugriff für die Warnung.

  • Alert Type- Eine geplante Warnung wird in einem vordefinierten Intervall ausgeführt, dessen Laufzeit durch den Tag und die Uhrzeit definiert ist, die aus den Dropdown-Listen ausgewählt wurden. Die andere Option für Echtzeitalarme bewirkt jedoch, dass die Suche kontinuierlich im Hintergrund ausgeführt wird. Immer wenn die Bedingung erfüllt ist, wird die Alarmaktion ausgeführt.

  • Trigger condition- Die Triggerbedingung prüft auf die im Trigger genannten Kriterien und löst die Änderung erst aus, wenn die Alarmkriterien erfüllt sind. Sie können die Anzahl der Ergebnisse oder die Anzahl der Quellen oder die Anzahl der Hosts im Suchergebnis definieren, um die Warnung auszulösen. Wenn es einmal festgelegt ist, wird es nur einmal ausgeführt, wenn die Ergebnisbedingung erfüllt ist, aber wenn es festgelegt istFor Jedes Ergebnis wird dann für jede Zeile in der Ergebnismenge ausgeführt, in der die Triggerbedingung erfüllt ist.

  • Trigger Actions- Die Triggeraktionen können eine gewünschte Ausgabe liefern oder eine E-Mail senden, wenn die Triggerbedingung erfüllt ist. Das folgende Bild zeigt einige der wichtigen Triggeraktionen, die in Splunk verfügbar sind.