Я запускаю приложение с довольно болтливыми журналами, которые мы пересылаем в Splunk. Пользователи создают собственные оповещения (а также поисковые запросы и даже информационные панели) для себя.
Мы все больше полагаемся на этот сервер пересылки, и пора начать мониторинг самого демона.
Мне интересно, может ли Splunk генерировать оповещение на основе сообщения, соответствующего определенным критериям не прибытие дольше указанного времени?
Каждый экспедитор "звонит домой" через определенные промежутки времени. Вы можете искать index=_internal для этих сообщений и предупреждать, если вы их не найдете. Найдите "phoneHome" (извините, точный текст ускользает от меня через банкомат, и я не на своем рабочем компьютере). Консоль мониторинга Splunk сделает это за вас, если вы включите предупреждение «Отсутствующие серверы пересылки».