我正在開發(fā)一個(gè)插件來根據(jù)警報(bào)收集事件結(jié)果并將其發(fā)送到 API 端點(diǎn)。一旦響應(yīng)成功,端點(diǎn)就會(huì)返回 JSON 格式的成功消息,我想將其存儲(chǔ)在自定義索引和源類型中。我嘗試使用下面的代碼,但數(shù)據(jù)被寫入主索引而不是我的自定義索引。有沒有辦法將事件寫入自定義索引,以便通過 Splunk 附加構(gòu)建器構(gòu)建警報(bào)操作?helper.addevent("hello", sourcetype="customsource")helper.addevent("world", sourcetype="customsource")helper.writeevents(index="mycustomindex", host="localhost", source="localhost")
1 回答

慕無忌1623718
TA貢獻(xiàn)1744條經(jīng)驗(yàn) 獲得超4個(gè)贊
與 Splunk 進(jìn)行了一次會(huì)議,以檢查是否可行。他們確認(rèn)不可能將事件寫回自定義索引,因?yàn)楫?dāng)前代碼將數(shù)據(jù)作為存儲(chǔ)寫入主索引,這在許可下不會(huì)被考慮。因此,我創(chuàng)建了基于 HEC 的 API 調(diào)用來存儲(chǔ)數(shù)據(jù)來實(shí)現(xiàn)我的要求。
添加回答
舉報(bào)
0/150
提交
取消