如果服务器日志中出现新错误,我希望在splink中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引index=Serverlogs1。
请帮忙!
要找到一段时间内没有看到的东西,需要搜索这段时间内的所有数据,因此要为缓慢的性能做好准备。如果你能具体说明";新的";事件从这个搜索开始。如果可能,用特定字段替换_raw。
index=serverlogs1 earliest=-1w
| stats count by _raw
| where count = 1