-2

如果服务器日志中出现新错误,我希望在 splunk 中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引索引 = Serverlogs1。

请帮忙!

4

1 回答 1

0

查找一段时间内未见的内容需要搜索该期间的所有数据,因此请为性能下降做好准备。如果您能具体说明“新”事件的标准,将会有所帮助。从这个搜索开始。如果可能,替换_raw为特定字段。

index=serverlogs1 earliest=-1w
| stats count by _raw
| where count = 1
于 2020-08-31T12:59:37.553 回答