Splunk的警报

在这个Splunk的教程我们将学习警报在Splunk的．如何创建警报，警报类型，警报工作流，不同类型警报的比较，实时警报，定时警报，滚动时间窗口触发。

警报

当满足搜索结果的特定条件时，就会出现警报。当警报被激活时，我们可以使用警告操作进行响应。它用于监视特定事件并对它们作出响应。它包括事实、说明和可供使用的警告操作场景。

警报工作流

警报将保存的搜索、类型和触发配置以及操作警报结合在一起。以下是关于警报的各个部分如何协同工作的一些细节。

搜索:我们想要什么样的轨道?

首先搜索我们希望跟踪的事件。另存为提醒搜索。

警报类型:多长时间检查一次事件?

警报使用我们保存的搜索来检查事件。设置警报类型以配置搜索运行的频率。使用定时警报定期检查事件。我们还可以使用实时警报来持续监视事件。

Splunk平台中的警报触发条件和节流:我们希望多久触发一次警报?

警报不必在每次生成搜索结果时都触发—在警报触发时设置条件来管理触发器。我们还可以抑制警报，以控制最初警报触发下一个警报的速度。

警报动作:发生了什么Splunk警报触发时的环境?

当警报触发时，可以初始化一个或多个警报操作。警报动作可以通知我们触发警报，并帮助我们开始响应。我们可以自定义警告动作的频率和类型。

警报类型

有两种类型的警报，定时的和实时的。警报类型的定义基于搜索警报的时间。我们可以根据场景为任何一种类型的警报定制定时、激活和其他操作。

警报类型比较

以下是定时警报和实时警报的比较。

警报类型和触发场景

一旦我们选择了一个计划警报或实时警报，我们就可以配置警报如何触发结果。根据所监视的事件，我们可能需要随每个结果触发的实时警报，或者仅在结果满足特定条件时触发的计划警报。下面的场景展示了警报和触发器类型的各种用例。

预定的警报

使用定时警报定期搜索事件，并监视它们是否满足特定条件。如果即时或实时监控不是优先事项，则计划警报是有用的。

场景

• 一家在线零售商的目标是每天销售500件。零售商管理员为监视销售业绩创建一个预定的警报。管理员将警告安排在每天23:00尝试销售事件。她将警告配置为如果结果数字低于500则激活。
• 管理员希望监视用户按照错误链接进入404错误页面的频率。管理员会生成一个定时警告，每小时搜索404个错误，如果结果超过100个就会触发。
• 管理员生成一个预定的警告，以检查在过去几个小时内给定主机是否没有提交数据到Splunk平台。他安排警报每三小时查看一次来自主机的事件。管理员配置警告，当搜索结果不存在时激活。

实时警报

实时警报不断扫描事件。在需要立即监测和反应的情况下，它们可以发挥作用。我们可以使用实时警告，每个结果出现一次，或者只有在滚动的有限时间跨度内满足这些条件时才会出现。

Per-result触发

带有触发条件的实时警报有时被称为“每个结果的警报”。使用这种类型的警报和触发器可以连续搜索事件，并在事件发生时获得通知。

警告:在高可用性部署中谨慎使用每个结果触发。如果对等体不可用，实时搜索不会警告搜索可能不完整。对于这种部署，建议使用计划警报。

场景

下面是一些使用带有触发per-result的实时警报的示例。

• 社交网络上的网站管理员需要了解是否发生了身份验证错误。她设置了一个实时警报，以查找失败的登录尝试。她为每个结果选择一个触发条件，这样她就可以跟踪任何失败的登录尝试。
• 管理员需要实时控制一系列主机的错误。有些错误需要比其他错误更迅速的反应。实时警告由管理员设置，每个结果都有一个触发条件。他使用一个表示不太紧急的错误代码的字段和一个小时的抑制周期来控制警报流。紧急错误每小时最多发生一次，次要错误每小时最多发生一次。

滚动时间窗触发

触发滚动时间窗口的实时警报有时称为“滚动窗口警报”。当特定时间段是我们实时跟踪的事件序列的重要部分时，这种形式的警报和激活非常有用。

场景

下面是一些使用实时警告来激活滚动时间窗口的示例。

• 每当用户在10分钟内失败登录三次时，管理员都希望收到通知。管理员设置实时警报搜索失败的登录，并配置10分钟的时间窗口滚动。管理员会限制该告警，因此它会导致同一用户在一小时内登录失败一次。
• 管理员希望知道web应用程序在一分钟内出现5个以上的连接错误。管理员配置实时告警搜索错误事件，并设置1分钟的滚动窗口。如果搜索返回一个结果，五分钟后又返回四个结果，则不会触发警报。

在Splunk Web中创建实时警报

我们使用实时警报在事件发生时监视事件或事件模式。我们可以通过触发每个结果或滚动时间窗口来创建实时警报。实时警报在计算资源方面可能很昂贵，因此尽可能考虑使用定时警报。

创建一个按结果触发的实时警报

触发每个输出的实时警报有时被称为每个结果警报。这种类型的警报和触发器使用持续的实时搜索来搜索事件。搜索的任何结果都会触发警告。

注意:如果我们有一个高可用性部署在Splunk企业，谨慎使用每结果触发。如果对等体不可用，实时搜索不会警告搜索可能不完整。使用定时警报来避免该问题。

按照以下步骤生成一个触发per-result的实际时间警告。

1. 去搜索在Splunk Web平台的搜索和报告应用程序中的页面。
2. 创建一个搜索。
3. 转到选择另存为，而不是在警报．
4. 为您的警报输入标题和可选的描述。
5. 另外，给警报提供必要的权限。
6. 选择实时窗口中的警报类型。
7. (可选)修改到期设置如果你想让你的警报得到一段时间后到期。
8. 选择Per-Result触发选项。
9. 选择警报触发时发生的至少一个警报操作。
10. 点击保存．