Splunk - Расписания и оповещения

Планирование - это процесс настройки триггера для автоматического запуска отчета без вмешательства пользователя. Ниже приведены варианты использования планирования отчета -

  • Запуская один и тот же отчет с разными интервалами: ежемесячно, еженедельно или ежедневно, мы можем получить результаты за этот конкретный период.

  • Повышена производительность панели мониторинга, поскольку отчеты заканчивают работу в фоновом режиме до того, как панель откроется пользователями.

  • Отправка отчетов автоматически по электронной почте после завершения работы.

Создание расписания

Расписание создается путем редактирования функции расписания отчета. Мы идем вEdit Schedule на кнопке Edit, как показано на изображении ниже.

При нажатии на кнопку редактирования расписания открывается следующий экран, на котором представлены все параметры для создания расписания.

В приведенном ниже примере мы выбираем все параметры по умолчанию, и отчет планируется запускать каждую неделю в понедельник в 6:00.

Важные особенности планирования

Ниже приведены важные особенности планирования:

  • Time Range- Указывает временной диапазон, с которого отчет должен получать данные. Это может быть последние 15 минут, последние 4 часа или последняя неделя и т. Д.

  • Schedule Priority - Если запланировано более одного отчета одновременно, это определит приоритет конкретного отчета.

  • Schedule Window- Когда есть несколько расписаний отчетов с одинаковым приоритетом, мы можем выбрать временное окно, которое поможет отчету запускаться в любое время в течение этого окна. Если это 5 минут, то отчет будет запущен в течение 5 минут после запланированного времени. Это помогает повысить производительность запланированных отчетов за счет увеличения времени их выполнения.

Запланировать действия

Действия по расписанию предназначены для выполнения некоторых действий после запуска отчета. Например, вы можете отправить электронное письмо с указанием статуса выполнения отчета или запустить другой сценарий. Такие действия можно выполнить, установив опцию, нажав наAdd Actions кнопку, как показано ниже -

Оповещения

Оповещения Splunk - это действия, которые запускаются при соблюдении определенного критерия, определяемого пользователем. Целью предупреждений может быть регистрация действия, отправка электронного письма или вывод результата в файл поиска и т. Д.

Создание оповещения

Вы создаете предупреждение, выполняя поисковый запрос и сохраняя его результат как предупреждение. На приведенном ниже снимке экрана мы выполняем поиск по дневному количеству файлов и сохраняем результат как предупреждение, выбираяSave As вариант.

На следующем снимке экрана мы настраиваем свойства оповещения. На изображении ниже показан экран конфигурации -

Назначение и варианты выбора каждого из этих вариантов объясняются ниже -

  • Title - Это название предупреждения.

  • Description - Это подробное описание того, что делает предупреждение.

  • Permission- Его значение определяет, кто может получить доступ, запустить или редактировать предупреждение. Если объявлено закрытым, то все разрешения имеет только создатель предупреждения. Чтобы другие могли получить доступ, параметр следует изменить наShared in App. В этом случае у каждого есть доступ для чтения, но только опытный пользователь имеет право редактировать предупреждение.

  • Alert Type- Запланированное предупреждение запускается с заранее определенным интервалом, время выполнения которого определяется днем ​​и временем, выбранными из раскрывающихся списков. Но другой вариант оповещения в реальном времени заставляет поиск работать непрерывно в фоновом режиме. Когда условие выполняется, выполняется действие предупреждения.

  • Trigger condition- Условие триггера проверяет критерии, упомянутые в триггере, и активирует изменение только при соблюдении критериев предупреждения. Вы можете определить количество результатов или количество источников или количество хостов в результатах поиска, чтобы вызвать предупреждение. Если он установлен на один раз, он будет выполняться только один раз при выполнении условия результата, но если он установлен наFor каждый Результат, то он будет выполняться для каждой строки в наборе результатов, где выполняется условие триггера.

  • Trigger Actions- Действия триггера могут дать желаемый результат или отправить электронное письмо, когда условие триггера выполнено. На изображении ниже показаны некоторые важные триггерные действия, доступные в Splunk.