0

我是 Splunk 的新手,如果我的问题太天真,请原谅我。如果字段的平均值高于阈值,我想设置 Splunk 警报。我的搜索如下:

sourcetype="somesourcetype" search phase | stats avg(f1) as Average

如果我使用

sourcetype="somesourcetype" search phase | timechart avg(f1) as Average span=1h

我可以看到表格列出了字段 f1 的平均值。但是stats avg(f1)我在统计面板下没有得到任何东西,如果 f1 的平均值高于 100 毫秒,我不确定如何设置警报。

4

1 回答 1

1

要在某个阈值触发警报,请在查询中包含阈值,然后在结果数不为零时触发警报。

sourcetype="somesourcetype" search phase | stats avg(f1) as Average | where Average > 100
于 2018-04-12T00:37:39.393 回答