私は会社のログを検索するためにsplunkを使用しています。クエリに「index = *」を追加するとデータが表示されるのはなぜですか?
質問に「index = 」を追加する必要があるのはなぜですか。 env = dev index =
"index = *"を指定しないと、データは返されません。
なぜ必要なのですか?それはどういう意味ですか?
各用語は限定的な要素でなければならないので、私は混乱しています。もう1つのフィルタリング用語index = *を追加すると、返されるデータセットが減少するはずです。
Janet、 あなたが実行しているSplunkアプリケーションでは、検索を実行する既定のインデックスの設定可能なリストがあります。たとえば、デフォルトの検索アプリケーションは、Splunk以外のすべての内部インデックス(_ )
これは正当な理由、Splunkはあなたのチームは、検索の大半のインデックスを指定せ続けた場合に迅速
をあなたのSPLを計算し、すべてのインデックスの上に、キーワードの条件をチェックする必要がなくなり、この方法のためでありますこれはあなたのSplunkの管理者があなたのチーム/アプリケーションの所有者のために別のSplunkアプリケーションを作成することを正当化するでしょう
PS:Splunk Answers公式フォーラムでSplunkの検索をお勧めします
おかげでJoaoはあなたの答えになりました。 – janetsmith