我是个新手。想要创建一个splunk警报,以检查是否从所有主机接收到日志,以及是否需要设置警报触发器。
| tstats latest(_time) as latest where index=* earliest=-24h by host
| eval recent = if(latest > relative_time(now(),"-5m"),1,0), realLatest = strftime(latest,"%c")
| where recent=0
上面的splink查询正确吗?
查询看起来不错,但最好的方法是尝试一下。它会产生想要的结果吗?