在我的公司,我们在splunk中有近一千个警报,我希望能够只提供特定警报的链接(它们的名称以相同的前缀开头)。
我希望能够添加查询参数到url (/alerts) -但是找不到任何东西。
可能性吗?
我也有同样的问题,但我可能已经找到了答案。
你可以这样写:
https://your-Splunk-host/en-US/app/search/alerts?search="your alert prefix * your-alert-suffix"
几乎等同于首先从https://your-Splunk-host/en-US/app/search/alerts
然后在过滤器中输入文本your alert prefix * your-alert-suffix
结果将不是基于成千上万的条目,而是只显示适合的,例如:
7 Alerts
your alert prefix one: your-alert-suffix
your alert prefix second example: your-alert-suffix
your alert prefix -third- your-alert-suffix
your alert prefix 4th your-alert-suffix
your alert prefix blah-blah your-alert-suffix
your alert prefix your-alert-suffix
your alert prefix last your-alert-suffix
I figure this out by
- 运气,使用另一个页面,我看到
search
作为一个参数,幸运的是,它在警报页面也是可用的,虽然它离开了URL后,页面开始加载 - 使用Web-Dev-Tool查看正在进行的调用,并看到在搜索中有类似于通常的spunk查询的东西-
search
参数的值放在and之后-例如:) AND "My Alert Prefix * my-suffix" AND ((eai:acl.sharing="user" AND eai:acl.owner="my_user_name")
如果你想对你的搜索更宽松,你可以使用它不带撇号"
,这将搜索每一个以空格分隔的词,包括,就像通常的Splunk搜索查询,因为这是在后台使用。
的例子:https://your-Splunk-host/en-US/app/search/alerts?search=My terms in URL
会在后台做些什么因此,AND My terms in URL AND ((eai:acl.sharing="user" AND eai:acl.owner="my_user_name")
比查询AND "My terms in URL" AND
有更多的结果
在弄清楚这个之后,我注意到从URL(例如。search/alerts?search="your alert prefix * your-alert-suffix"
)比页面过滤器里的搜索更有包容性,对于我来说,使用URL,结果有37个项目,而使用页面中的过滤器有36个项目,
但是,URL结果仍然足够好,因为它避免了在第一次加载一个基于3000多个结果的列表,就像龚先生想要避免近一千个警报