Я новичок в splunk. Требуется создать оповещение splunk, чтобы проверить, получены ли журналы со всего хоста или нет, и если нет необходимости, установить триггер оповещения.
| tstats latest(_time) as latest where index=* earliest=-24h by host
| eval recent = if(latest > relative_time(now(),"-5m"),1,0), realLatest = strftime(latest,"%c")
| where recent=0
Правильно ли приведенный выше запрос splunk?
