Splunk - programações e alertas

O agendamento é o processo de configuração de um gatilho para executar o relatório automaticamente sem a intervenção do usuário. Abaixo estão os usos de agendamento de um relatório -

  • Executando o mesmo relatório em intervalos diferentes: mensal, semanal ou diário, podemos obter resultados para aquele período específico.

  • Desempenho aprimorado do painel à medida que os relatórios terminam de ser executados em segundo plano, antes que o painel seja aberto pelos usuários.

  • Envio de relatórios automaticamente por e-mail após a conclusão da execução.

Criação de uma programação

Uma programação é criada editando o recurso de programação do relatório. Nós vamos aoEdit Schedule opção no botão Editar como mostrado na imagem abaixo.

Ao clicar no botão editar programação, chegamos à próxima tela que apresenta todas as opções para a criação da programação.

No exemplo abaixo, pegamos todas as opções padrão e o relatório está programado para ser executado todas as semanas na segunda-feira às 6h.

Características importantes da programação

A seguir estão os recursos importantes de programação -

  • Time Range- Indica o intervalo de tempo no qual o relatório deve buscar os dados. Pode ser nos últimos 15 minutos, últimas 4 horas ou na semana passada, etc.

  • Schedule Priority - Se mais de um relatório for agendado ao mesmo tempo, isso determinará a prioridade de um relatório específico.

  • Schedule Window- Quando há vários agendamentos de relatórios com a mesma prioridade, podemos escolher uma janela de tempo que ajudará o relatório a ser executado a qualquer momento durante esta janela. Se for 5 minutos, o relatório será executado em 5 minutos após o horário programado. Isso ajuda a melhorar o desempenho dos relatórios programados, distribuindo seu tempo de execução.

Agendar ações

As ações do cronograma devem realizar algumas etapas após a execução do relatório. Por exemplo, você pode enviar um e-mail informando o status da execução do relatório ou executar outro script. Essas ações podem ser realizadas definindo a opção clicando emAdd Actions botão como mostrado abaixo -

Alertas

Os alertas Splunk são ações que são acionadas quando um critério específico é atendido e definido pelo usuário. O objetivo dos alertas pode ser registrar uma ação, enviar um e-mail ou gerar um resultado para um arquivo de pesquisa, etc.

Criando um Alerta

Você cria um alerta executando uma consulta de pesquisa e salvando seu resultado como um alerta. Na captura de tela abaixo, pegamos a pesquisa de contagem de arquivos durante o dia e salvamos o resultado como um alerta, escolhendo oSave As opção.

Na próxima captura de tela, configuramos as propriedades do alerta. A imagem abaixo mostra a tela de configuração -

O propósito e as escolhas de cada uma dessas opções são explicados abaixo -

  • Title - É o nome do alerta.

  • Description - É a descrição detalhada do que o alerta faz.

  • Permission- Seu valor decide quem pode acessar, executar ou editar o alerta. Se for declarado privado, apenas o criador do alerta terá todas as permissões. Para ser acessado por outras pessoas, a opção deve ser alterada paraShared in App. Nesse caso, todos têm acesso de leitura, mas apenas o usuário avançado tem acesso de edição para o alerta.

  • Alert Type- Um alerta programado é executado em um intervalo predefinido, cujo tempo de execução é definido pelo dia e hora escolhidos nos menus suspensos. Mas a outra opção de alerta em tempo real faz com que a pesquisa seja executada continuamente em segundo plano. Sempre que a condição é atendida, a ação de alerta é executada.

  • Trigger condition- A condição de disparo verifica os critérios mencionados no disparo e ativa a alteração apenas quando os critérios de alerta são atendidos. Você pode definir o número de resultados ou o número de fontes ou o número de hosts no resultado da pesquisa para acionar o alerta. Se for definido uma vez, ele será executado apenas uma vez quando a condição de resultado for atendida, mas se for definido comoFor cada Resultado, ele será executado para cada linha no conjunto de resultados onde a condição de disparo for atendida.

  • Trigger Actions- As ações do gatilho podem fornecer uma saída desejada ou enviar um e-mail quando a condição do gatilho for atendida. A imagem abaixo mostra algumas das importantes ações de gatilho disponíveis no Splunk.