Как написать дополнительный запрос, чтобы убедиться, что поиск работает?

Question

У меня есть несколько предупреждений, которые появляются, если нет результатов. Тем не менее, иногда наш спланк-поиск останавливается на минуту, вызывая срабатывание всех этих предупреждений.

Я не отвечаю за спленк-сервер, поэтому не могу ничего сделать, чтобы улучшить его способность к поиску, чтобы остаться вверх. Однако я могу изменить запросы предупреждений. Я не ищу предложений о том, как продолжать поиск. Это не в моих руках.

Есть ли способ изменить поиск, чтобы убедиться, что поиск работает? Как, например, способ всегда возвращать по крайней мере 1 результат поиска, а затем я могу изменить свои оповещения так, чтобы они срабатывали, когда есть только 1 результат, а не 0.

, поэтому псевдопросмотр будет выглядеть примерно так: запрос, который всегда возвращает только 1 результат, если поиск работает | добавить эти результаты к исходному ответному запросу, который ожидает> 0 результатов

Answer 1

Использование makeresults может быть достаточным для создания события, за которым вы следите.

| makeresults | eval msg="makeresults generates a single event by default" | append [ your other search ]

Тем не менее, это ваш вариант использования для поиска данных за последние несколько минут, и именно поэтому ваш поиск возвращает 0 результатов? Рекомендуется использовать самое позднее несколько минут go, чтобы избежать задержек из-за передачи журнала или простоев. Например, ищите самое раннее = -15m самое позднее = -5m и запускайте этот поиск каждые 10 минут.