排查思路 #

• 确认配置保存状态：修改Cron表达式后，重新进入告警配置页，检查表达式是否确实为18 17 * * 1-5——部分场景下页面提示保存但后台未同步，导致旧配置仍在生效
• 检查时区设置：Splunk的Cron调度依赖时区配置，若告警时区或系统时区与预期不符，会导致日期判断偏差。确认告警的时区设置是否与业务时区一致
• 核对告警历史记录：在「告警历史」中查看周末触发的记录，确认是否为当前配置的实例，还是存在未删除的旧版每日触发告警
• 验证版本兼容性：部分旧版Splunk对Cron的周范围（1-5）解析存在bug，可查阅对应版本的官方文档确认已知问题
• 测试表达式解析：在Splunk搜索栏执行以下命令，验证表达式的实际解析结果是否为工作日17:18：

  | makeresults | eval cron_schedule="18 17 * * 1-5" | eval next_run=strptime(cron_schedule, "%M %H %d %m %w") | convert ctime(next_run)
  

解决方案 #

• 重新配置并保存：删除现有Cron表达式，手动重新输入18 17 * * 1-5，保存后刷新页面再次确认配置
• 重启调度服务：分布式环境下，执行splunk restart scheduler命令重启告警调度器，确保配置同步到所有节点
• 替换范围写法：若版本存在解析bug，将1-5替换为明确的枚举值1,2,3,4,5，指定周一至周五
• 清理旧告警实例：检查系统中是否存在同名或功能重复的每日触发告警，删除未使用的旧配置
• 校准时区：将告警时区设置为业务所在时区（如Asia/Shanghai），避免时区转换导致的日期判断错误

内容的提问来源于stack exchange，提问作者Amit G