我运行一个包含大量日志的应用程序,我们会将其转发给 Splunk。用户正在为自己构建自定义警报(以及搜索甚至仪表板)。
我们越来越依赖这个转发器,现在是时候开始监控守护进程本身了。
我想知道,Splunk 是否可以根据符合特定条件的消息生成警报不是到达是否超过指定时间?
答案1
每个转发器都会定期“打电话回家”。您可以搜索index=_internal这些消息,如果找不到,请发出警报。查找“phoneHome”(抱歉,确切的文本我记不清了,而且我不在办公室电脑旁)。如果您启用“缺少转发器”警报,Splunk 的监控控制台将为您执行此操作。