Splunk - Horarios y alertas

La programación es el proceso de configurar un disparador para ejecutar el informe automáticamente sin la intervención del usuario. A continuación, se muestran los usos de la programación de un informe:

  • Al ejecutar el mismo informe en diferentes intervalos: mensual, semanal o diario, podemos obtener resultados para ese período específico.

  • Rendimiento mejorado del panel a medida que los informes terminan de ejecutarse en segundo plano antes de que los usuarios lo abran.

  • Envío de informes automáticamente por correo electrónico después de que termine de ejecutarse.

Crear un horario

Se crea una programación editando la función de programación del informe. Vamos a laEdit Schedule en el botón Editar como se muestra en la imagen de abajo.

Al hacer clic en el botón editar programa, obtenemos la siguiente pantalla que presenta todas las opciones para crear el programa.

En el siguiente ejemplo, tomamos todas las opciones predeterminadas y el informe está programado para ejecutarse todos los lunes a las 6 a. M.

Características importantes de la programación

Las siguientes son las características importantes de la programación:

  • Time Range- Indica el intervalo de tiempo desde el que el informe debe obtener los datos. Puede ser de los últimos 15 minutos, las últimas 4 horas o la última semana, etc.

  • Schedule Priority - Si se programa más de un informe al mismo tiempo, esto determinará la prioridad de un informe específico.

  • Schedule Window- Cuando hay varios programas de informes con la misma prioridad, podemos elegir una ventana de tiempo que ayudará a que el informe se ejecute en cualquier momento durante esta ventana. Si son 5 minutos, el informe se ejecutará dentro de los 5 minutos posteriores a la hora programada. Esto ayuda a mejorar el rendimiento de los informes programados al distribuir su tiempo de ejecución.

Programar acciones

Las acciones de programación están destinadas a tomar algunos pasos después de que se ejecuta el informe. Por ejemplo, es posible que desee enviar un correo electrónico indicando el estado de ejecución del informe o ejecutar otro script. Estas acciones se pueden realizar configurando la opción haciendo clic enAdd Actions botón como se muestra a continuación -

Alertas

Las alertas de Splunk son acciones que se activan cuando se cumple un criterio específico definido por el usuario. El objetivo de las alertas puede ser registrar una acción, enviar un correo electrónico o generar un resultado en un archivo de búsqueda, etc.

Crear una alerta

Puede crear una alerta ejecutando una consulta de búsqueda y guardando su resultado como una alerta. En la siguiente captura de pantalla, realizamos la búsqueda del recuento de archivos por día y guardamos el resultado como una alerta al elegir elSave As opción.

En la siguiente captura de pantalla, configuramos las propiedades de la alerta. La siguiente imagen muestra la pantalla de configuración:

El propósito y las opciones de cada una de estas opciones se explica a continuación:

  • Title - Es el nombre de la alerta.

  • Description - Es la descripción detallada de lo que hace la alerta.

  • Permission- Su valor decide quién puede acceder, ejecutar o editar la alerta. Si se declara privado, solo el creador de la alerta tiene todos los permisos. Para que otros accedan a ella, la opción debe cambiarse aShared in App. En este caso, todos tienen acceso de lectura, pero solo el usuario avanzado tiene acceso de edición para la alerta.

  • Alert Type- Una alerta programada se ejecuta en un intervalo predefinido cuyo tiempo de ejecución se define por el día y la hora elegidos en los menús desplegables. Pero la otra opción en alerta en tiempo real hace que la búsqueda se ejecute continuamente en segundo plano. Siempre que se cumple la condición, se ejecuta la acción de alerta.

  • Trigger condition- La condición de activación verifica los criterios mencionados en la activación y activa el cambio solo cuando se cumplen los criterios de alerta. Puede definir el número de resultados o el número de fuentes o el número de hosts en el resultado de la búsqueda para activar la alerta. Si se establece por una vez, se ejecutará solo una vez cuando se cumpla la condición de resultado, pero si se establece enFor cada Resultado, luego se ejecutará para cada fila del conjunto de resultados donde se cumpla la condición de activación.

  • Trigger Actions- Las acciones de activación pueden dar una salida deseada o enviar un correo electrónico cuando se cumple la condición de activación. La siguiente imagen muestra algunas de las acciones de activación importantes disponibles en Splunk.