Планирование — это процесс настройки триггера для автоматического запуска отчета без вмешательства пользователя. Ниже приведены примеры использования отчета:
-
Запуская один и тот же отчет с разными интервалами: ежемесячно, еженедельно или ежедневно, мы можем получить результаты за этот конкретный период.
-
Повышена производительность панели мониторинга, поскольку отчеты завершают работу в фоновом режиме до того, как панель открывается пользователями.
-
Отправка отчетов автоматически по электронной почте после его завершения.
Запуская один и тот же отчет с разными интервалами: ежемесячно, еженедельно или ежедневно, мы можем получить результаты за этот конкретный период.
Повышена производительность панели мониторинга, поскольку отчеты завершают работу в фоновом режиме до того, как панель открывается пользователями.
Отправка отчетов автоматически по электронной почте после его завершения.
Создание расписания
Расписание создается путем редактирования функции расписания отчета. Мы переходим к опции Edit Schedule на кнопке Edit, как показано на рисунке ниже.
Нажав кнопку «Изменить расписание», мы получим следующий экран, в котором изложены все параметры для создания расписания.
В приведенном ниже примере мы берем все параметры по умолчанию, и отчет планируется запускать каждую неделю в понедельник в 6 часов утра.
Важные особенности планирования
Ниже приведены важные особенности планирования —
-
Диапазон времени — указывает диапазон времени, из которого отчет должен извлекать данные. Это может длиться 15 минут, последние 4 часа или последняя неделя и т. Д.
-
Приоритет расписания — если одновременно запланировано более одного отчета, это определит приоритет конкретного отчета.
-
Окно расписаний. Если имеется несколько расписаний отчетов с одинаковым приоритетом, мы можем выбрать временное окно, которое поможет отчету запускаться в любое время в течение этого окна. Если это 5 минут, то отчет будет запущен в течение 5 минут от запланированного времени. Это помогает повысить производительность запланированных отчетов за счет расширения их времени выполнения.
Диапазон времени — указывает диапазон времени, из которого отчет должен извлекать данные. Это может длиться 15 минут, последние 4 часа или последняя неделя и т. Д.
Приоритет расписания — если одновременно запланировано более одного отчета, это определит приоритет конкретного отчета.
Окно расписаний. Если имеется несколько расписаний отчетов с одинаковым приоритетом, мы можем выбрать временное окно, которое поможет отчету запускаться в любое время в течение этого окна. Если это 5 минут, то отчет будет запущен в течение 5 минут от запланированного времени. Это помогает повысить производительность запланированных отчетов за счет расширения их времени выполнения.
Расписание действий
Действия по расписанию предполагают выполнение некоторых шагов после запуска отчета. Например, вы можете отправить электронное письмо с указанием статуса выполнения отчета или запустить другой скрипт. Такие действия можно выполнить, установив параметр, нажав кнопку « Добавить действия» , как показано ниже —
Оповещения
Оповещения Splunk — это действия, которые запускаются при выполнении определенного критерия, определенного пользователем. Целью оповещений может быть регистрация действия, отправка электронного письма или вывод результата в поисковый файл и т. Д.
Создание оповещения
Вы создаете оповещение, запустив поисковый запрос и сохранив его результат в виде оповещения. На снимке экрана ниже мы берем поиск по дневному количеству файлов и сохраняем результат как предупреждение, выбрав опцию Сохранить как .
На следующем снимке экрана мы настраиваем свойства оповещения. На рисунке ниже показан экран конфигурации —
Цель и выбор каждого из этих вариантов объясняется ниже —
Заголовок — это название оповещения.
Описание — это подробное описание того, что делает предупреждение.
Разрешение — его значение определяет, кто может получить доступ, запустить или изменить предупреждение. Если объявлено как частное, все разрешения имеют только создатель оповещения. Чтобы быть доступными для других, этот параметр должен быть изменен на Общий в приложении . В этом случае каждый имеет доступ для чтения, но только опытный пользователь имеет доступ к редактированию для предупреждения.
Тип оповещения — Запланированное оповещение запускается с заранее заданным интервалом, время выполнения которого определяется днем и временем, выбранными из раскрывающихся списков. Но другая опция оповещения в режиме реального времени заставляет поиск работать непрерывно в фоновом режиме. Всякий раз, когда условие выполняется, действие предупреждения выполняется.
Условие запуска. Условие запуска проверяет критерии, указанные в триггере, и устанавливает изменение только при соблюдении критериев оповещения. Вы можете определить количество результатов или количество источников или количество хостов в результатах поиска, чтобы активировать предупреждение. Если он установлен на один раз, он будет выполняться только один раз, когда будет выполнено условие результата, но если для него установлено значение « Для каждого результата», он будет выполняться для каждой строки в наборе результатов, где выполняется условие триггера.
Действия триггера — Действия триггера могут дать желаемый результат или отправить электронное письмо, когда условие триггера выполнено. На рисунке ниже показаны некоторые важные триггерные действия, доступные в Splunk.