首頁猿問 Splunk Addon...

Splunk Addon 構(gòu)建器警報(bào)操作，用于將結(jié)果存儲(chǔ)到自定義索引中

Python

POPMUISE 2023-09-19 17:38:47

我正在開發(fā)一個(gè)插件來根據(jù)警報(bào)收集事件結(jié)果并將其發(fā)送到 API 端點(diǎn)。一旦響應(yīng)成功，端點(diǎn)就會(huì)返回 JSON 格式的成功消息，我想將其存儲(chǔ)在自定義索引和源類型中。我嘗試使用下面的代碼，但數(shù)據(jù)被寫入主索引而不是我的自定義索引。有沒有辦法將事件寫入自定義索引，以便通過 Splunk 附加構(gòu)建器構(gòu)建警報(bào)操作？helper.addevent("hello", sourcetype="customsource")helper.addevent("world", sourcetype="customsource")helper.writeevents(index="mycustomindex", host="localhost", source="localhost")

查看完整描述

1 回答

慕無忌1623718

TA貢獻(xiàn)1744條經(jīng)驗(yàn) 獲得超4個(gè)贊

與 Splunk 進(jìn)行了一次會(huì)議，以檢查是否可行。他們確認(rèn)不可能將事件寫回自定義索引，因?yàn)楫?dāng)前代碼將數(shù)據(jù)作為存儲(chǔ)寫入主索引，這在許可下不會(huì)被考慮。因此，我創(chuàng)建了基于 HEC 的 API 調(diào)用來存儲(chǔ)數(shù)據(jù)來實(shí)現(xiàn)我的要求。

反對回復(fù) 2023-09-19