splunkアラートでサーバを再起動する

Question

スプランクアラートを設定しました。ただし、アプリケーションサーバーが再起動されると、これらのアラートを引き起こす多くのログエントリが作成されます。これらのログエントリを無視するか、アプリケーションサーバーを再起動したときに警告を無視します。

これを行うことができない場合、スプランクのタイムラインに注釈を付ける方法はありますか？そのように私はタイムラインに注釈を付けることができ、人々が警告を受け取ると、レポートを開いてサーバーの再起動が発生したことを知ることができます。タイムライン付きの他のツールでも、このようなアノテーションが可能です。

Answer 1

「安全な作業時間」を実装する最良の方法は、ルックアップファイルを使用することです。 フィールドのdate_day date_hourタイプを使用して安全時間を設定し、次にlookupフィールドとしてservernameを使用してデータを取得し、where句を使用して安全時間を除外します。

host  safe_begin  safe_end 
myHost  1900    2200 

クエリ

ルックアップファイル：

.... | where date_hour!>=safe_begin AND date_hour!<=safe_end 

はその後、それに応じてアラートを設定します。