Splunk - Horaires et alertes

La planification est le processus de configuration d'un déclencheur pour exécuter le rapport automatiquement sans l'intervention de l'utilisateur. Voici les utilisations de la planification d'un rapport -

  • En exécutant le même rapport à différents intervalles: mensuel, hebdomadaire ou quotidien, nous pouvons obtenir des résultats pour cette période spécifique.

  • Amélioration des performances du tableau de bord car les rapports finissent de s'exécuter en arrière-plan avant que le tableau de bord ne soit ouvert par les utilisateurs.

  • Envoi automatique des rapports par e-mail une fois son exécution terminée.

Créer un horaire

Une planification est créée en modifiant la fonction de planification du rapport. Nous allons à laEdit Schedule option sur le bouton Modifier comme indiqué dans l'image ci-dessous.

En cliquant sur le bouton Modifier le calendrier, nous obtenons l'écran suivant qui présente toutes les options pour créer le calendrier.

Dans l'exemple ci-dessous, nous prenons toutes les options par défaut et le rapport est programmé pour s'exécuter chaque semaine le lundi à 6 heures du matin.

Caractéristiques importantes de la planification

Voici les caractéristiques importantes de la planification -

  • Time Range- Il indique la plage de temps à partir de laquelle le rapport doit extraire les données. Cela peut durer 15 minutes, 4 dernières heures ou la semaine dernière, etc.

  • Schedule Priority - Si plus d'un rapport est programmé en même temps, cela déterminera la priorité d'un rapport spécifique.

  • Schedule Window- Lorsqu'il y a plusieurs planifications de rapport avec la même priorité, nous pouvons choisir une fenêtre de temps qui aidera le rapport à s'exécuter à tout moment pendant cette fenêtre. S'il est de 5 minutes, le rapport s'exécutera dans les 5 minutes suivant son heure programmée. Cela permet d'améliorer les performances des rapports planifiés en répartissant leur durée d'exécution.

Planifier les actions

Les actions de planification sont censées effectuer certaines étapes après l'exécution du rapport. Par exemple, vous pouvez envoyer un e-mail indiquant l'état d'exécution du rapport ou exécuter un autre script. De telles actions peuvent être effectuées en définissant l'option en cliquant surAdd Actions bouton comme indiqué ci-dessous -

Alertes

Les alertes Splunk sont des actions qui sont déclenchées lorsqu'un critère spécifique est satisfait et défini par l'utilisateur. Le but des alertes peut être de consigner une action, d'envoyer un e-mail ou de générer un résultat dans un fichier de recherche, etc.

Créer une alerte

Vous créez une alerte en exécutant une requête de recherche et en enregistrant son résultat sous forme d'alerte. Dans la capture d'écran ci-dessous, nous effectuons la recherche du nombre de fichiers par jour et enregistrons le résultat sous forme d'alerte en choisissant leSave As option.

Dans la capture d'écran suivante, nous configurons les propriétés de l'alerte. L'image ci-dessous montre l'écran de configuration -

Le but et les choix de chacune de ces options sont expliqués ci-dessous -

  • Title - C'est le nom de l'alerte.

  • Description - C'est la description détaillée de ce que fait l'alerte.

  • Permission- Sa valeur a décidé qui peut accéder, exécuter ou modifier l'alerte. S'il est déclaré privé, seul le créateur de l'alerte dispose de toutes les autorisations. Pour être accessible par d'autres, l'option doit être remplacée parShared in App. Dans ce cas, tout le monde a un accès en lecture, mais seul l'utilisateur avec pouvoir a le droit de modification pour l'alerte.

  • Alert Type- Une alerte planifiée s'exécute à un intervalle prédéfini dont l'heure d'exécution est définie par le jour et l'heure choisis dans les menus déroulants. Mais l'autre option sur l'alerte en temps réel fait que la recherche s'exécute en continu en arrière-plan. Chaque fois que la condition est remplie, l'action d'alerte est exécutée.

  • Trigger condition- La condition de déclenchement vérifie les critères mentionnés dans le déclencheur et déclenche l'altération uniquement lorsque les critères d'alerte sont satisfaits. Vous pouvez définir le nombre de résultats ou le nombre de sources ou le nombre d'hôtes dans le résultat de la recherche pour déclencher l'alerte. S'il est défini pour une fois, il ne s'exécutera qu'une seule fois lorsque la condition de résultat est remplie mais s'il est défini surFor chaque résultat, puis il s'exécutera pour chaque ligne du jeu de résultats où la condition de déclenchement est remplie.

  • Trigger Actions- Les actions de déclenchement peuvent donner une sortie souhaitée ou envoyer un e-mail lorsque la condition de déclenchement est remplie. L'image ci-dessous montre certaines des actions de déclenchement importantes disponibles dans Splunk.