2018年1月1日

Splunk即時告警失效問題

Splunk近期加了不少的即時告警通知的功能,結果在使用上發現會有的部分告警沒辦法正常發送即時通知Email,一開始不以為意,以為是SMTP發信的問題,但後來仔細檢查後,才知道是Splunk為了系統的search效能,所以有做一些預設的限制,而剛好即時告警又是Splunk功能裡很吃效能的一個功能,如果是預設四核心CPU的Splunk主機的話,預設只能同時使用5組的Realtime Alert,這也就是為什麼有時候,有的即時告警正常,有時又異常的原因,要加大可以使用即時告警的數量的話,可修改Splunk安裝目錄下的config檔的參數
C:\Program Files\Splunk\etc\system\default\limits.conf
修改後要記得要重新Restart Splunk services


預設值如下,可用即時告警計算出來,以4 core CPU的話,是只能使用5組
############################################################################
# Concurrency
############################################################################
# This section contains settings for search concurrency limits.
# The total number of concurrent searches is
# base_max_searches + #cpus*max_searches_per_cpu

# The base number of concurrent searches.
base_max_searches = 6

# Max real-time searches = max_rt_search_multiplier x max historical searches.
max_rt_search_multiplier = 1

# The maximum number of concurrent searches per CPU.
max_searches_per_cpu = 1


調整如下後可放大到18組
############################################################################
# Concurrency
############################################################################
# This section contains settings for search concurrency limits.
# The total number of concurrent searches is
# base_max_searches + #cpus*max_searches_per_cpu

# The base number of concurrent searches.
base_max_searches = 10

# Max real-time searches = max_rt_search_multiplier x max historical searches.
max_rt_search_multiplier = 2

# The maximum number of concurrent searches per CPU.
max_searches_per_cpu = 2

沒有留言:

張貼留言