我是 splunk 的新手。想要创建一个 splunk 警报来检查是否已从所有主机接收到日志,如果不需要设置警报触发器。
| tstats latest(_time) as latest where index=* earliest=-24h by host
| eval recent = if(latest > relative_time(now(),"-5m"),1,0), realLatest = strftime(latest,"%c")
| where recent=0
上面的 splunk Query 是否正确?
答案 0 :(得分:1)
查询看起来不错,但最好的了解方法是尝试。它是否产生了预期的结果?