Splunk – Horarios y alertas

La programación es el proceso de configurar un disparador para ejecutar automáticamente un informe sin la intervención del usuario. A continuación se muestran los casos de uso para programar un informe:

  • Al ejecutar el mismo informe en diferentes intervalos: mensual, semanal o diario, podemos obtener resultados para ese período específico.

  • El rendimiento del panel se ha mejorado a medida que los informes terminan de ejecutarse en segundo plano antes de que los usuarios lo abran.

  • Envíe informes automáticamente por correo electrónico una vez finalizado el trabajo.

Creación de horarios

La programación se crea editando la función de programación de informes. Vamos a Cambiar horario en el botón Editar como se muestra en la imagen de abajo.

Programar alerta1

Cuando hace clic en el botón Editar programa, se abre la siguiente pantalla, que presenta todas las opciones para crear un programa.

En el siguiente ejemplo, estamos usando todas las opciones predeterminadas y el informe está programado para ejecutarse todos los lunes a las 6:00 a. M.

Programar Alerta2

Funciones de planificación importantes

Las siguientes son consideraciones de planificación importantes:

  • Intervalo de tiempo : Especifica el intervalo de tiempo del que el informe debe recuperar los datos. Estos pueden ser los últimos 15 minutos, las últimas 4 horas o la última semana, etc.

  • Prioridad de programación – Si se programan varios informes al mismo tiempo, esto determinará la prioridad del informe específico.

  • Ventana de programación – Cuando hay varios programas de informes con la misma prioridad, podemos elegir una ventana de tiempo que ayudará a que el informe se ejecute en cualquier momento durante esa ventana. Si son 5 minutos, el informe se ejecutará dentro de los 5 minutos posteriores a la hora programada. Esto ayuda a mejorar el rendimiento de los informes programados al aumentar su tiempo de ejecución.

Programar acciones

Las acciones de programación son para realizar algunos pasos después de que se ejecuta el informe. Por ejemplo, puede enviar un correo electrónico indicando el estado de ejecución de un informe o ejecutar otro script. Estas acciones se pueden realizar configurando la opción haciendo clic en Agregar acciones botón como se muestra a continuación –

Programar alerta3

Alertas

Las alertas de Splunk son acciones que se activan cuando se cumple un determinado criterio definido por el usuario. El propósito de las alertas puede ser registrar una acción, enviar un correo electrónico o enviar el resultado a un archivo de búsqueda, etc.

Crear alerta

Puede crear una alerta ejecutando una consulta de búsqueda y guardando el resultado como una alerta. En la captura de pantalla a continuación, buscamos por número diario de archivos y guardamos el resultado como una alerta al elegir Guardar como opción.

Programar alerta 4

En la siguiente captura de pantalla, estamos configurando las propiedades de la alerta. La siguiente imagen muestra la pantalla de configuración:

Programar alerta 5

El propósito y las opciones de cada una de estas opciones se explican a continuación:

  • Bóveda – Este es el título de la advertencia.

  • Descripción – Esta es una descripción detallada de lo que hace la advertencia.

  • Resolución – Su valor determina quién puede acceder, ejecutar o editar la alerta. Si se declara como privado, solo el creador de la alerta tiene todos los permisos. Para que otros accedan, esta opción debe cambiarse a Enviado en la aplicación… En este caso, todos tienen acceso de lectura, pero solo un usuario experimentado tiene derecho a editar la advertencia.

  • Tipo de alerta – Se activa una alerta programada en un intervalo predeterminado, cuyo tiempo de ejecución está determinado por el día y la hora seleccionados en las listas desplegables. Pero otra opción de alerta en tiempo real obliga a que la búsqueda se ejecute continuamente en segundo plano. Cuando se cumple la condición, se ejecuta una acción de advertencia.

  • Condición de activación – La condición de activación verifica los criterios mencionados en la activación y activa el cambio solo si se cumplen los criterios de alerta. Puede especificar el número de resultados o el número de fuentes o el número de hosts en los resultados de búsqueda para activar una alerta. Si se establece en una vez, solo se ejecutará una vez cuando se cumpla la condición de resultado, pero si se establece en Para cada Resultado, luego se ejecutará para cada fila del conjunto de resultados donde se cumpla la condición de activación.

  • Acciones desencadenadas – Las acciones de activación pueden dar el resultado deseado o enviar un correo electrónico cuando se cumple la condición de activación. La siguiente imagen muestra algunas de las acciones de activación importantes disponibles en Splunk.

Alerta de horario 6

En Este Curso

🚫