我正在尝试在Splunk 6.6.7中创建摘要索引,但无法使用collect命令获取数据。
我已在savedsearches.conf文件中手动启用了它。
创建此代码后,我重新启动了Splunk,并尝试使用collect命令运行以下查询以提取数据。
任何时候都不会提取数据。
[xxxx_capacity_threshold]
action.summary_index = true
action.summary_index._name = xxxxx
action.email.useNSSubject = 1
alert.track = 0
search = index="$param$-xxx" sourcetype="xxx" | table maxPercentage percentage
| makeresults | eval _raw = "{\"maxPercentage\":\"70\", \"percentage\":\"90\"}" | table _raw | collect index="xxxxxx-xx" file="new_settings_$timestamp$.stash" sourcetype="xxxxxx" addtime=true testmode=false
期望的是,一旦执行collect命令,就需要将数据插入索引中
要求帮助我确定问题的解决方案。
此外,我目前使用的索引为“ 1234-index”,其中我有不同的源类型来满足我的需求。但是,我有一种特定的源类型,我需要为其收集摘要数据。 因此,有必要为摘要创建一个全新的索引吗?或者我可以只使用“ 1234-index”索引并将其标记为能够在单独的源类型中捕获摘要数据吗?
谢谢 沙希德
答案 0 :(得分:0)
您可以使用collect将数据写入任何索引(您有权访问)。您可以通过在“ collect”命令中提供唯一的源或源类型来将它们分开,但是请注意,将它们更改为默认值可能会影响许可证的使用。
就您的其他问题而言,作业检查器应就未写入数据的原因提供警告或错误消息。尝试搜索时,您可以分享其中的详细信息吗?