Как вызвать предупреждение о спанке для каждой статистики, которая появляется в моем запросе

Question

Как вызвать предупреждение о спанке для каждой статистики, которая появляется в моем запросе

В настоящее время у меня есть запрос, который приводит к отображению нескольких статистических данных: "Статистика (5)"

Я использую этот запрос, чтобы получить эту статистику:

index=ms-app  environment=prod AND "*"
| eval uri=replace(mvindex(split('request.uri', "?"), 0), "\/\d+[-+\w]+", "/:n"), methodOverride='request.headers.X-HTTP-Method-Override'
| eval methodOverrideStr = if(isnull(methodOverride) OR methodOverride=="null", "", "(" + methodOverride + ")")
| eval request = 'request.method' + methodOverrideStr + " " + uri + " " + 'response.httpStatusCode'
| stats
median(stats.overallResponseTimeInMilliSeconds) as "Median"
| table request, "Median" > 3000 | where Median > 3000

Я хочу создать оповещение, которое будет срабатывать каждый раз, когда появляется один стат

В настоящее время мой триггер настроен следующим образом:

Затем у меня есть действие, которое перейдет в резервный канал, который я создал при запуске.

Однако я никогда не видел, чтобы он запускался в моем резерве, несмотря на то, что результаты были в разделе статистики моего запроса

0

triggers splunk splunk-query alerts splunk-sum

Источник

user4181830 12 май '20 в 21:51

1 ответ

Другие вопросы по тегам triggers splunk splunk-query alerts splunk-sum

user9395495 13 май '20 в 02:28 2020-05-13 02:28 · Answer 1 · 2020-05-13 02:28

Лучше всего использовать триггер, когда Number of Results is greater than 0.

Ваше условие предупреждения о триггере недействительно. Вы бы использовали что-то вродеwhere count > 1 и включать stats countв конце вашего поискового выражения. Однако это слишком сложно.

Также кажется, что вы хотите запускать поиск данных за 7 дней каждую минуту. В зависимости от объема это может быть дорогостоящий запрос. Было бы лучше рассмотреть другие варианты, такие как сводное индексирование.