0

我已经创建了一些 Splunk 警报并通过Opsgenie App成功触发 OpsGenie ,现在我想在警报中设置优先级。但是缺少与优先级相关的字段。这些是从 REST API 返回的:

action.opsgenie.command
action.opsgenie.description
action.opsgenie.forceCsvResults
action.opsgenie.hostname
action.opsgenie.icon_path
action.opsgenie.is_custom
action.opsgenie.label
action.opsgenie.maxresults
action.opsgenie.maxtime
action.opsgenie.payload_format
action.opsgenie.track_alert
action.opsgenie.ttl

在 Splunk UI 中只能设置api_url( action.opsgenie.param.api_url)

如何设置优先级或自定义字段,然后在 OpsGenie 的 Splunk 集成中访问它?

4

1 回答 1

0

我联系了 Opsgenie 支持寻求指导,并被告知我可以试用该字段{{_payload}}以查看所有可用字段。

_payload

app=search, 
configuration={
                api_url=132-123-123-123
              }, 
server_host=foo, 
sid='',
result={}, 
results_file=...,
results_link=...,
session_key=...,
search_uri=...,
search_name=my_alert 
server_uri=https://foobar}

所以api_url出现在配置对象中。有趣的。我添加了一个名为的自定义字段action.opsgenie.param.prio=P5,它也最终出现在_payload

configuration={
                api_url=132-123-123-123,
                prio=P5
              },

我现在可以通过以下方式在 Splunk 集成中访问它: {{_payload.configuration.prio}}

最好的办法是 OpsGenie 添加一个特定的优先级字段,以便可以预先配置 Opsgenie 中的 Splunk 应用程序。但我猜这很好用。

我希望这对其他人也有用

于 2020-04-06T17:41:57.700 回答