Splunk REST API:如何在创建警报时设置 "Send to triggered alerts" 操作?
Splunk REST API: How to set "Send to triggered alerts" action when creating an alert?
我希望使用 REST API 创建 Splunk 警报。但是,我在操作列表中找不到“发送到触发的警报”操作。如何添加该操作?
您在 Splunk documentation 中查找的参数是 alert.track。您必须在请求中将 alert.track 设置为 1。
以下是此类警报的示例:
curl -k -u admin:password https://some.address:8089/servicesNS/admin/search/saved/searches \
-d name=test4 \
--data-urlencode output_mode='json' \
--data-urlencode actions='' \
--data-urlencode alert.digest_mode='1' \
--data-urlencode alert.expires='24h' \
--data-urlencode alert.managedBy='' \
--data-urlencode alert.severity='3' \
--data-urlencode alert.suppress='0' \
--data-urlencode alert.suppress.fields='' \
--data-urlencode alert.suppress.period='' \
--data-urlencode alert.track='1' \
--data-urlencode alert_comparator='equal to' \
--data-urlencode alert_condition='' \
--data-urlencode alert_threshold='0' \
--data-urlencode alert_type='number of events' \
--data-urlencode allow_skew='0' \
--data-urlencode cron_schedule='*/2 * * * *' \
--data-urlencode description='' \
--data-urlencode disabled='0' \
--data-urlencode displayview='' \
--data-urlencode is_scheduled='1' \
--data-urlencode is_visible='1' \
--data-urlencode max_concurrent='1' \
--data-urlencode realtime_schedule='1' \
--data-urlencode restart_on_searchpeer_add='1' \
--data-urlencode run_n_times='0' \
--data-urlencode run_on_startup='0' \
--data-urlencode schedule_priority='default' \
--data-urlencode schedule_window='0' \
--data-urlencode search='sourcetype="auth" failed'
我希望使用 REST API 创建 Splunk 警报。但是,我在操作列表中找不到“发送到触发的警报”操作。如何添加该操作?
您在 Splunk documentation 中查找的参数是 alert.track。您必须在请求中将 alert.track 设置为 1。
以下是此类警报的示例:
curl -k -u admin:password https://some.address:8089/servicesNS/admin/search/saved/searches \
-d name=test4 \
--data-urlencode output_mode='json' \
--data-urlencode actions='' \
--data-urlencode alert.digest_mode='1' \
--data-urlencode alert.expires='24h' \
--data-urlencode alert.managedBy='' \
--data-urlencode alert.severity='3' \
--data-urlencode alert.suppress='0' \
--data-urlencode alert.suppress.fields='' \
--data-urlencode alert.suppress.period='' \
--data-urlencode alert.track='1' \
--data-urlencode alert_comparator='equal to' \
--data-urlencode alert_condition='' \
--data-urlencode alert_threshold='0' \
--data-urlencode alert_type='number of events' \
--data-urlencode allow_skew='0' \
--data-urlencode cron_schedule='*/2 * * * *' \
--data-urlencode description='' \
--data-urlencode disabled='0' \
--data-urlencode displayview='' \
--data-urlencode is_scheduled='1' \
--data-urlencode is_visible='1' \
--data-urlencode max_concurrent='1' \
--data-urlencode realtime_schedule='1' \
--data-urlencode restart_on_searchpeer_add='1' \
--data-urlencode run_n_times='0' \
--data-urlencode run_on_startup='0' \
--data-urlencode schedule_priority='default' \
--data-urlencode schedule_window='0' \
--data-urlencode search='sourcetype="auth" failed'