我正在开发一个插件,以收集基于警报的事件结果并将其发送到API端点。一旦响应成功,端点将以JSON格式返回一条成功消息,我希望将其存储在自定义索引和源类型中。
我尝试使用以下代码,但数据被写入主索引,而不是我的自定义索引。有没有办法通过Splunk插件生成器将事件写入警报操作生成的自定义索引?
helper.addevent("hello", sourcetype="customsource")
helper.addevent("world", sourcetype="customsource")
helper.writeevents(index="mycustomindex", host="localhost", source="localhost")
与Splunk进行了一次会话,以检查是否可能。他们确认,不可能将事件写回自定义索引,因为当前代码将数据作为存储写入主索引,这将不被视为许可。因此,我创建了基于HEC的API调用来存储数据,以满足我的需求。