当我们通过splunk触发电子邮件时,我们想显示3个具有不同结果集的表。是否有任何选项可以配置多个Splunk查询来单个电子邮件警报?
请帮助您的输入。
您可以用这3个表将仪表板板条箱,然后在电子邮件中发布该仪表板。不确定是否可以将仪表板转换为警报。
在此处查看该方法:
https://answers.splunk.com/answers/111602/trigger-a-pdf-via-the-command-line-line.html
您可以使用许多搜索和图形创建仪表板,并使用PDF计划进行安排。
然后,您可以创建一个将仪表板的PDF运行到电子邮件的其他外壳脚本:
!/bin/bash
curl -k -u admin:password
https://localhost:8089/servicesNS/admin/search/saved/searches/_ScheduledView__mypdf/dispatch -d trigger_actions=1
之后,您可以设置一个运行此外壳脚本的警报:
[whatever_alert]
action.script = 1
action.script.filename = whatever_pdf_trigger.sh
cron_schedule = */10 * * * *
dispatch.earliest_time = -2m@m
dispatch.latest_time = now
displayview = flashtimeline
enableSched = 1
counttype = number of events
relation = greater than
quantity = 0
search = index=ops | head 2