Я настраиваю поиск / оповещение Splunk для поиска ошибки в группе серверов. Как я могу настроить оповещение для отправки мне по электронной почте, когда ошибка возникает на нескольких хостах, но только один раз для каждого хоста?
Например, если ошибка постоянно возникает на двух хостах из группы из 6, мне нужно получить два предупреждения (по одному для каждого хоста), но только один раз до следующего дня. (для варианта один раз до следующего дня я использую функцию дросселирования) Это возможно с splunk?
Я понял. В настройках дроссельной заслонки я поставил параметр «Подавить значение поля как хост» и установил оповещение для каждого случая. Таким образом, он отправил предупреждение один раз для всех хостов, а затем подавил все до порога подавления.
Для регулирования по определенным полям необходимо выбрать параметр «Для каждого результата» в разделе «Условия триггера». Затем введите «хост» в поле «Подавить результаты, содержащие значение поля». См. http://docs.splunk.com/Documentation/Splunk/7.2.0/Alert/ThrottleAlerts