Приложение Splunk alert manager - оповещения не проиндексированы
Я установил приложение диспетчера оповещений и следовал документации для установки.
У меня Splunk 7.2.4 на сервере с одним экземпляром и надстройка Alert manager 2.2.0. Я также установил Python для научных вычислений в Splunk.
После этого я создал индекс в моем экземпляре Splunk:
| Name | Type | App | Current Size | Max Size |
| alerts | Events | alert_manager | 1MB | 500GB |
В меню "Настройки приложений менеджера предупреждений"> "Глобальные настройки" я применил следующую конфигурацию:
Globals
Index: alerts
Default Owner: unassigned
Default Priority: low
Number of incidents show in incident posture: 20
Save incident results to KVStore (checked)
Status to use for automatically closed informational events: auto_info_resolved
Alert Action Defaults
Impact: low
Urgency: low
После применения этой конфигурации я зашел в свое приложение Splunk Инструментария машинного обучения и сгенерировал предупреждение с параметром Действия триггера:
When triggered :
Add to Triggered Alerts
Alert Manager
Title: Test
Impact: low
Urgency: low
Owner: Unassigned
Но со всей этой конфигурацией ничто не появляется в индексе предупреждений и на панели мониторинга менеджера предупреждений.
Я также вижу ошибки, когда я смотрю в файл splunkd.log:
03-27-2019 13:55:27.615 +0100 ERROR sendmodalert - action=alert_manager STDERR - Traceback (most recent call last):
03-27-2019 13:55:27.615 +0100 ERROR sendmodalert - action=alert_manager STDERR - File "/opt/splunk/etc/apps/alert_manager/bin/alert_manager.py", line 402, in <module>
03-27-2019 13:55:27.615 +0100 ERROR sendmodalert - action=alert_manager STDERR - savedSearch = getSavedSearch(payload.get('app'), search_name, sessionKey)
03-27-2019 13:55:27.616 +0100 ERROR sendmodalert - action=alert_manager STDERR - File "/opt/splunk/etc/apps/alert_manager/bin/alert_manager.py", line 328, in getSavedSearch
03-27-2019 13:55:27.616 +0100 ERROR sendmodalert - action=alert_manager STDERR - return savedSearch['entry'][0]
03-27-2019 13:55:27.616 +0100 ERROR sendmodalert - action=alert_manager STDERR - TypeError: list indices must be integers, not str
03-27-2019 13:55:27.649 +0100 INFO sendmodalert - action=alert_manager - Alert action script completed in duration=718 ms with exit code=1
03-27-2019 13:55:27.649 +0100 WARN sendmodalert - action=alert_manager - Alert action script returned error code=1
03-27-2019 13:55:27.649 +0100 ERROR sendmodalert - Error in 'sendalert' command: Alert script returned error code 1.
03-27-2019 13:55:27.650 +0100 ERROR SearchScheduler - Error in 'sendalert' command: Alert script returned error code 1., search='sendalert alert_manager results_file="/opt/splunk/var/run/splunk/dispatch/scheduler__admin_U3BsdW5rX01MX1Rvb2xraXQ__RMD527e2ea47a21d59f7_at_1553691300_599/per_result_alert/tmp_45.csv.gz" results_link="http://192.168.0.10.nip.io:8000/app/Splunk_ML_Toolkit/search?q=%7Cloadjob%20scheduler__admin_U3BsdW5rX01MX1Rvb2xraXQ__RMD527e2ea47a21d59f7_at_1553691300_599%20%7C%20head%2046%20%7C%20tail%201&earliest=0&latest=now"'
03-27-2019 13:55:27.651 +0100 INFO sendmodalert - Invoking modular alert action=alert_manager for search="9075714df4b64ec3895d4ceacd25a834_1553521216" sid="scheduler__admin_U3BsdW5rX01MX1Rvb2xraXQ__RMD527e2ea47a21d59f7_at_1553691300_599" in app="Splunk_ML_Toolkit" owner="admin" type="saved"
Есть идеи?
С уважением