Wie Alarm für mehrere Fehler Szenario für mehrere API-Protokolle in Splunk setzen

Question

Ich bin naiv zu Splunk und ich habe diese Aufgabe auf Prioritätsbasis zu tun, möchte ich Alarm für mehrere API auf PCF, entfielen.

API-NAME: Error1, Error2,3 ..

API-NAME2: Error1, Error2,3.

API-NAME3: Fehler1, Fehler2,3.

Der Fehler ist für jede API gleich.

Wie schreibe ich eine Splunk-Abfrage, um Alarm für obige Bedingung zu erhöhen.

Ich dachte, ich werde einfach verwendet oder Zustand Abfragen

wie Error1 oder Fehler 2

zu schaffen, aber dies wird eine globale E-Mail Benachrichtigung, und ich will das nicht.

Ich kann nicht API-Namen in Abfrage verwenden, da api Name in vielen Zustand (info, debug usw.), wird dies nicht notwendig Benachrichtigung in vielen Fällen,

angemeldet ist

* API einfach URL sind, die ein fordern Backend-Server.

Answer 1

Es wäre so etwas wie dieses

aussehen

... | eval API-NAME=if(API-NAME AND (Error1 OR Error2),"Alert","No Issue") | search API-NAME="Alert" | table API-NAME

Sie auch eine Case-Anweisung verwenden können, wenn Sie viele Bedingungen haben

Sie sollten dann eine benutzerdefinierte Benachrichtigung erstellen