アラートに基づいてイベント結果を収集し、それを API エンドポイントに送信するアドオンに取り組んでいます。応答が成功すると、エンドポイントは成功メッセージを JSON 形式で返します。これをカスタム インデックスとソースタイプに保存したいと考えています。
以下のコードを使用してみましたが、データはカスタム インデックスではなくメイン インデックスに書き込まれます。Splunk アドオン ビルダーを介してアラート アクション ビルドのカスタム インデックスにイベントを書き込む方法はありますか?
helper.addevent("hello", sourcetype="customsource")
helper.addevent("world", sourcetype="customsource")
helper.writeevents(index="mycustomindex", host="localhost", source="localhost")