Я пытаюсь создать сводный индекс в Splunk 6.6.7, но не могу получить данные с помощью команды collect.
Я вручную включил его в файл savedsearches.conf.
После создания я перезапустил свой Splunk и попытался выполнить приведенный ниже запрос с помощью команды collect для загрузки данных.
Данные не попадают в любое время.
[xxxx_capacity_threshold]
action.summary_index = true
action.summary_index._name = xxxxx
action.email.useNSSubject = 1
alert.track = 0
search = index="$param$-xxx" sourcetype="xxx" | table maxPercentage percentage
| makeresults | eval _raw = "{\"maxPercentage\":\"70\", \"percentage\":\"90\"}" | table _raw | collect index="xxxxxx-xx" file="new_settings_$timestamp$.stash" sourcetype="xxxxxx" addtime=true testmode=false
Ожидается, что данные должны быть вставлены в индекс после выполнения команды сбора.
Запрос помочь мне найти решение моей проблемы.
Кроме того, в настоящее время я нахожусьиспользуя индекс, скажем «1234-index», где у меня есть разные типы источников для удовлетворения моих потребностей.Тем не менее, у меня есть один конкретный тип источника, для которого мне нужно собрать сводные данные.Так нужно ли создавать совершенно новый индекс для сводки или я могу просто использовать индекс «1234-index» и пометить его, чтобы включить сбор сводных данных, а также в отдельный тип источника?
Спасибо, Шахид