我正在开发一个插件来根据警报收集事件结果并将其发送到 API 端点。一旦响应成功,端点就会返回 JSON 格式的成功消息,我想将其存储在自定义索引和源类型中。我尝试使用下面的代码,但数据被写入主索引而不是我的自定义索引。有没有办法将事件写入自定义索引,以便通过 Splunk 附加构建器构建警报操作?helper.addevent("hello", sourcetype="customsource")helper.addevent("world", sourcetype="customsource")helper.writeevents(index="mycustomindex", host="localhost", source="localhost")
1 回答
慕无忌1623718
TA贡献1744条经验 获得超4个赞
与 Splunk 进行了一次会议,以检查是否可行。他们确认不可能将事件写回自定义索引,因为当前代码将数据作为存储写入主索引,这在许可下不会被考虑。因此,我创建了基于 HEC 的 API 调用来存储数据来实现我的要求。
添加回答
举报
0/150
提交
取消