0

我是 splunk 的新手。想要创建一个 splunk 警报以检查是否已从所有主机接收到日志,如果不需要设置警报触发器。

| tstats latest(_time) as latest where index=* earliest=-24h by host
| eval recent = if(latest > relative_time(now(),"-5m"),1,0), realLatest = strftime(latest,"%c")
| where recent=0

上面的 splunk 查询是否正确?

4

1 回答 1

1

查询看起来不错,但最好的方法是尝试一下。它会产生预期的结果吗?

于 2021-03-23T11:09:08.420 回答