我太天真了,我必须优先完成这项任务,我想为部署在PCF上的多个api设置警报, E.g。
API-NAME:Error1,Error2,3 ..
API-NAME2:Error1,Error2,3。
API-NAME3:Error1,Error2,3。
每个api的错误都是一样的。
如何编写splunk查询以针对上述情况发出警报。
我以为我会简单地使用或条件来创建查询
像 错误1或错误2
但是这会创建一个全局警报,我不希望这样。
我无法在查询中使用API名称,因为api名称记录在很多条件下(信息,调试等),这在许多情况下都不必创建警报,
* API只是调用后端服务器的URL。
答案 0 :(得分:0)
它看起来像这样
... | eval API-NAME=if(API-NAME AND (Error1 OR Error2),"Alert","No Issue")
| search API-NAME="Alert"
| table API-NAME
如果你有很多条件,你也可以使用案例陈述
然后,您应该创建自定义提醒