［SPLUNK］アラートメールの設定・改

アラートメールの設定についても見直し版を作りました。

［メールサーバの作成］
・Black Jumbo Dog で作成
　　メールボックス: 【test】
　　POPサーバ: ACL：127.0.0.1 アドレスの通信を許可
　　SMTPサーバ:  ドメイン名：splunk.local、ACL：127.0.0.1 アドレスの通信を許可


［メールサーバの設定］
［Settings］－［Server settings］
→［Email settings］

Mail Server Settings
・Mail host：　localhost （メールサーバを指定）
　※SMTP 認証を行う場合には追加の設定が必要

Email Format
・Send emails as：　splunk （メールの差出人）
・Email footer：　（デフォルトの文章のまま）


［トリガイベントの設定］
［Apps: Search & Reporting］
［Search 文字列を指定して検索］－［Save As － Alert］

・EventCode = 4624　　（Windows Logon Event）
　　Title：　【WinLogon】
　　Description：　【Windows Logon Event】
　　Alert type：　【Real Time】
　　Trigger condition：　【Number of Results】
　　Number of results is：　【Greater than】 【5】
　　in：　【1】 【day(s)】

　　■ Send Email
　　　　To: test@splunk.local
　　　　Subject: Splunk Alert: $name$
　　　　Message: The alert condition for '$name$' was triggered.
　　　　include
　　　　　　■ Link to Alert
　　　　　　□ Search String
　　　　　　□ Trigger Condition
　　　　　　□ Trigger Time
　　　　　　■ Link to Results
　　　　　　□ Inline Table
　　　　　　□ Attach CSV
　　　　　　□ Attach PDF

　　□ Run a Script
　　　　Filename: （Located in $SPLUNK_HOME/bin/scripts）

　　■ Throttle
　　　　Suppress triggering for: 【1】 【hour(s)】

---

Splunk のページに戻る