我正在尝试在 Splunk 6.6.7 中创建摘要索引,但无法使用 collect 命令摄取数据。
我已经savedsearches.conf文件中手动启用了它。
创建后,我重新启动了我的 Splunk,并尝试使用collect命令运行以下查询来摄取数据。
数据不会随时被摄取。
[xxxx_capacity_threshold]
action.summary_index = true
action.summary_index._name = xxxxx
action.email.useNSSubject = 1
alert.track = 0
search = index="$param$-xxx" sourcetype="xxx" | table maxPercentage percentage
| makeresults | eval _raw = "{"maxPercentage":"70", "percentage":"90"}" | table _raw | collect index="xxxxxx-xx" file="new_settings_$timestamp$.stash" sourcetype="xxxxxx" addtime=true testmode=false
期望在执行收集命令后将数据插入索引中
请求帮助我确定解决问题的方法。
此外,我目前正在使用一个索引,例如"1234-index",其中我有不同的源类型来满足我的需求。但是,我有一个特定的源类型,我需要为其收集摘要数据。那么,是否有必要为摘要创建一个全新的索引,或者我是否可以只使用"1234-index"索引并对其进行标记以在单独的源类型中捕获摘要数据?
谢谢沙希德
您可以使用
collect将数据写入任何索引(您有权访问的索引(。您可以通过提供唯一的源或源类型作为"收集"命令的一部分来分隔它们,但请注意,从默认值更改它们可能会影响您的许可证使用。
就您的另一个问题而言,作业检查器应提供有关未写入数据的原因的警告或错误消息。当您尝试搜索时,您能否分享详细信息。