Как настроить оповещение для нескольких сценариев ошибок для нескольких журналов API в Splunk

Question

Как настроить оповещение для нескольких сценариев ошибок для нескольких журналов API в Splunk

Я наивен, чтобы пороть, и я должен выполнить эту задачу в приоритетном порядке, я хочу установить оповещение для нескольких API, развернутых на PCF, например

API-NAME: Ошибка1, Ошибка2,3..

API-NAME2: ошибка1, ошибка2,3.

API-NAME3: ошибка1, ошибка2,3.

Ошибка одинакова для каждого API.

Как написать дополнительный запрос, чтобы вызвать предупреждение для вышеуказанного условия.

Я думал, что я просто использовал или условие для создания запросов

как Ошибка 1 или Ошибка 2

но это создаст глобальное предупреждение, и я не хочу этого.

Я не могу использовать имя API в запросе, так как имя API регистрируется во многих условиях (информация, отладка и т. Д.), Во многих случаях это не обязательно создает предупреждение,

* API - это просто URL, которые вызывают внутренний сервер.

0

splunk splunk-query splunk-formula

Источник

user6734038 26 дек '17 в 07:35

1 ответ

Другие вопросы по тегам splunk splunk-query splunk-formula

user8092700 28 дек '17 в 14:28 2017-12-28 14:28 · Answer 1 · 2017-12-28 14:28

Это будет выглядеть примерно так

... | eval API-NAME=if(API-NAME AND (Error1 OR Error2),"Alert","No Issue") | search API-NAME="Alert" | table API-NAME

Вы также можете использовать выписку по делу, если у вас много условий

Затем вы должны создать собственное оповещение

0

Источник

user8092700 28 дек '17 в 14:28