我正在使用splunk搜索公司的日志。
我想知道,为什么我需要在查询中添加“index = ”,例如 env = dev index =
如果没有“index = *”,则不会返回任何数据。
为什么我们需要它?这是什么意思?
我很困惑,因为每个术语应该是一个限制因素,例如再添加一个过滤术语index = *,它应该减少返回的数据集。
答案 0 :(得分:2)
珍, 您正在运行该搜索的Splunk应用程序具有可配置的默认索引列表,它运行搜索,例如默认搜索应用程序针对所有非Splunk内部索引(以_开头的那些)
这是有充分理由的,这样Splunk就可以避免在所有索引上检查关键字术语,更快地计算SPL
如果您的团队不得不在大多数搜索中指定索引,那么这将证明您的Splunk管理员为您的团队/应用程序所有者创建单独的Splunk应用程序
PS:最好在官方论坛Splunk Answers上询问下一个Splunk搜索