> ## Documentation Index
> Fetch the complete documentation index at: https://docs.flashcat.cloud/llms.txt
> Use this file to discover all available pages before exploring further.

# Splunk 告警事件

> 通过 webhook 的方式同步 Splunk 告警事件到 Flashduty On-call，实现告警事件自动化降噪处理

<div className="hide">
  ## 在 Flashduty On-call

  ***

  您可通过以下2种方式，获取一个集成推送地址，任选其一即可。

  ### 使用专属集成

  当您不需要将告警事件路由到不同的协作空间，优先选择此方式，更简单。

  <AccordionGroup>
    <Accordion title="展开">
      1. 进入 Flashduty 控制台，选择 **协作空间**，进入某个空间的详情页面
      2. 选择 **集成数据** tab，点击 **添加一个集成**，进入添加集成页面
      3. 选择 **Splunk** 集成，点击 **保存**，生成卡片。
      4. 点击生成的卡片，可以查看到 **推送地址**，复制备用，完成。
    </Accordion>
  </AccordionGroup>

  ### 使用共享集成

  当您需要根据告警事件的 Payload 信息，将告警路由到不同的协作空间，优先选择此方式。

  <AccordionGroup>
    <Accordion title="展开">
      1. 进入 Flashduty 控制台，选择 **集成中心=>告警事件**，进入集成选择页面。
      2. 选择 **Splunk** 集成：
         * **集成名称**：为当前集成定义一个名称。
      3. 配置默认路由，并选择对应的协作空间（集成创建后可以前往 `路由` 进行更多路由规则的配置）。
      4. 点击 **保存** 后，复制当前页面的新生成的 **推送地址** 备用。
      5. 完成。
    </Accordion>
  </AccordionGroup>
</div>

## 在 Splunk

***

<div className="md-block">
  ## 一、Splunk 告警推送配置

  1. 登录您的 Splunk 控制台。
  2. 在 `Search adn Report` 应用中，搜索想要监控的关键字，比如 error 关键字。
  3. 在右上角的另存为处，选择 `Alerts`，将搜索的关键字配置为监控项。

  <img alt="drawing" width="600" src="https://download.flashcat.cloud/flashduty/doc/splunk-1.png" />

  4. 在弹出的配置框中输入相关信息，`set up` 和 `Triggering conditions` 部分，按实际情况配置。
  5. 在 `Trigger Action` 部分，点击 `Add Action` 并选择 `Webhook`。

  <img alt="drawing" width="600" src="https://download.flashcat.cloud/flashduty/doc/splunk-2.png" />

  6. 在 `Webhook` 中的 `URL` 处填写集成的推送地址（当前页面填写集成名称，保存后即可生成地址）并保存，即可完成告警配置。

  <img alt="drawing" width="600" src="https://download.flashcat.cloud/flashduty/doc/splunk-3.png" />
</div>

## 二、状态对照

<div className="md-block">
  由于 Splunk 的告警事件没有区分严重程度，所以 Splunk 推送到 Flashduty的所有告警事件状态都为 Warning 且没有恢复事件。
</div>