无法将事件收集到 Splunk 索引中
Unable to collect event into Splunk index
我正在尝试在 Splunk 6.6.7 中创建摘要索引,但无法使用 collect 命令获取数据。
我已在 savedsearches.conf 文件中手动启用它。
创建后,我重新启动了我的 Splunk,并尝试使用 collect 命令 运行 下面的查询来获取数据。
数据不会随时被摄取。
[xxxx_capacity_threshold]
action.summary_index = true
action.summary_index._name = xxxxx
action.email.useNSSubject = 1
alert.track = 0
search = index="$param$-xxx" sourcetype="xxx" | table maxPercentage percentage
| makeresults | eval _raw = "{\"maxPercentage\":\"70\", \"percentage\":\"90\"}" | table _raw | collect index="xxxxxx-xx" file="new_settings_$timestamp$.stash" sourcetype="xxxxxx" addtime=true testmode=false
预期是一旦执行收集命令就需要将数据插入索引
请求帮助我确定问题的解决方案。
此外,我目前正在使用一个索引“1234-index”,其中我有不同的源类型来满足我的需要。但是,我有一种特定的源类型需要为其收集摘要数据。
那么是否有必要为摘要创建一个全新的索引,或者我是否可以只使用“1234-index”索引并将其标记为能够在单独的源类型中捕获摘要数据?
谢谢
沙希德
您可以使用 collect 将数据写入任何索引(您有权访问)。您可以通过提供唯一的来源或来源类型作为 `collect 命令的一部分来将它们分开,但是请注意,更改这些默认值可能会影响您的许可证使用。
关于您的其他问题,作业检查员应该提供警告或错误消息,说明为什么没有写入数据。当你尝试搜索时,你能分享详细信息吗?
我正在尝试在 Splunk 6.6.7 中创建摘要索引,但无法使用 collect 命令获取数据。
我已在 savedsearches.conf 文件中手动启用它。
创建后,我重新启动了我的 Splunk,并尝试使用 collect 命令 运行 下面的查询来获取数据。
数据不会随时被摄取。
[xxxx_capacity_threshold]
action.summary_index = true
action.summary_index._name = xxxxx
action.email.useNSSubject = 1
alert.track = 0
search = index="$param$-xxx" sourcetype="xxx" | table maxPercentage percentage
| makeresults | eval _raw = "{\"maxPercentage\":\"70\", \"percentage\":\"90\"}" | table _raw | collect index="xxxxxx-xx" file="new_settings_$timestamp$.stash" sourcetype="xxxxxx" addtime=true testmode=false
预期是一旦执行收集命令就需要将数据插入索引
请求帮助我确定问题的解决方案。
此外,我目前正在使用一个索引“1234-index”,其中我有不同的源类型来满足我的需要。但是,我有一种特定的源类型需要为其收集摘要数据。 那么是否有必要为摘要创建一个全新的索引,或者我是否可以只使用“1234-index”索引并将其标记为能够在单独的源类型中捕获摘要数据?
谢谢 沙希德
您可以使用 collect 将数据写入任何索引(您有权访问)。您可以通过提供唯一的来源或来源类型作为 `collect 命令的一部分来将它们分开,但是请注意,更改这些默认值可能会影响您的许可证使用。
关于您的其他问题,作业检查员应该提供警告或错误消息,说明为什么没有写入数据。当你尝试搜索时,你能分享详细信息吗?