Splunk Обновление статуса событий

Я использую Splunk REST API (C#)Splunk Обновление статуса событий

У меня есть event_id, и я хочу, чтобы обновить статус события с запросом HTTP POST.

То, что я пытался это отправить HTTP Post запрос со следующим телом запроса в формате JSON:

{'status': 5, 'urgency': 'high', 'newOwner': 'admin', 'output_mode': 'json', 'comment': 'This is a test of the REST endpoint', 'ruleUIDs': ['MYEVENTUID']}

И это ответ:

{"message": "No search ID was provided.", "success": false}

В чем проблема и как можно Я чиню это?

источник

2017-01-19 CSharpBeginner

Не можете добавить код? – Shakeel

Вы пытаетесь изменить событие splunk, которое уже было проиндексировано? Если это так, вы не можете, потому что индексы splunk доступны только для чтения, и их данные не могут быть изменены.

источник

2017-01-21 09:44:22 barkai36

@ barakai36, у меня есть event_id, событие со статусом (1), я хочу изменить статус события на 2, я могу это сделать, у меня есть скрипт python, который делает обновление, мне просто нужно «преобразовать» скрипт python на код C# – CSharpBeginner

Просьба поделиться сценарием python, который это делает. – barkai36

@ barkao36, вы можете видеть, что здесь https://gist.github.com/LukeMurphey/29b61fc5837511efa531 или здесь http://blogs.splunk.com/2015/04/13/how-to-edit-notable-events- in-es-programatically /, я просто пытаюсь «преобразовать» этот скрипт в C# – CSharpBeginner

Splunk Обновление статуса событий

ответ

Смежные вопросы