我正在使用splunk的rest api来访问Splunk对象。目标是根据输入的标题禁用/启用已保存的警报(不是所有搜索对象)。我采取的方法是访问
的https:// {机}:8089 / servicesNS /管理/搜索/保存/搜索/
并比较标题。但要求是仅在对象是警报时才禁用该对象(此页面中显示的对象
)的http:// {机}:8000 / EN-US /应用/搜索/警报
这只是
中显示结果的一部分的http:// {机}:8000 / EN-US /管理器/发射器/保存/搜索NS = - &安培; pwnr = - &安培;搜索=≈p_only= 1
我正在检查财产"行动"不是空的或财产" alert.track"是" 1"检查它是否是一个警报。但是看起来添加了一些条件的新搜索查询也会显示在警报页面中。
所以我想知道是否有一组属性可以用来区分警报和搜索对象?