Я хочу сделать оповещение в Splunk, когда сумма больше 1000. Поэтому, если сумма больше 1000, я хочу отправить электронное письмо на xyz.
Я не могу выбрать правильноевозможность в меню Splunk Alert.
Добавьте | where sum>1000 к вашему запросу.Затем включите оповещение, когда число событий не равно нулю.
| where sum>1000