Отсутствует оповещение экспедитора

Question

DMC Alert - предупреждение об отсутствующих серверах пересылки не работает должным образом.

Мы предоставили запрос, как показано ниже, и получили выходные данные с разных хост-серверов и с разными датами..

|inputlookup dmc_forwarder_assets |makemv delim = "" avg_tcp_kbps_sparkline |eval sum_kb = if (status == "отсутствует", "N / A", sum_kb) |eval avg_tcp_kbps_sparkline = if (status == "отсутствует", "N / A", avg_tcp_kbps_sparkline) |eval avg_tcp_kbps = if (status == "отсутствует", "N / A", avg_tcp_kbps) |eval avg_tcp_eps = if (status == "отсутствует", "N / A", avg_tcp_eps) |eval forwarder_type = case (forwarder_type == "full", "Heavy Forwarder", forwarder_type == "uf", "Universal Forwarder", forwarder_type == "lwf", "Light Forwarder", 1 == 1, forwarder_type) |поиск НЕ [|inputlookup dmc_assets |дедупликация "servername" |переименуйте "servername" в имя хоста |поля имя_хоста] статус = отсутствует

Ожидаемый результат: получение оповещения, когда переадресация спланка останавливается или не удается отправить какие-либо журналы.

Answer 1

Если вас просто интересуют результаты Universal Forwarders, вы можете попробовать запрос ниже

| inputlookup dmc_forwarder_assets | makemv delim=" " avg_tcp_kbps_sparkline | eval sum_kb = if (status == "missing", "N/A", sum_kb) | eval avg_tcp_kbps_sparkline = if (status == "missing", "N/A", avg_tcp_kbps_sparkline) | eval avg_tcp_kbps = if (status == "missing", "N/A", avg_tcp_kbps) | eval avg_tcp_eps = if (status == "missing", "N/A", avg_tcp_eps) | where forwarder_type="uf" | eval forwarder_type = "Universal Forwarder" | search NOT [| inputlookup dmc_assets | dedup "servername" | rename "servername" as hostname | fields hostname] status=missing