我正在运行一个相当简单的搜索,以按源识别Splunk安装上的索引使用情况,因为我们正在进行Enterprise 30天试用,目的是在Splunk Free到期后使用它:
index=_internal source=*license_usage.log | eval MB=b/1024/1024 | timechart span=1d sum(MB) by s where count in top50
所有数据源的结果均按预期返回,但结果末尾还有一个标题为“ NULL”的附加列:
Splunk index search NULL column
我所有的数据都有输入源,当我单击该列并选择查看数据时,没有任何结果。
有人可以帮助我了解此NULL列是什么吗?如果正确,则表明我正在使用超过500MB /天的Splunk Free限制,我需要在试用期结束之前解决该问题。
答案 0 :(得分:0)
出现NULL列是因为某些事件没有's'字段。您只想用s字段汇总这些事件,因此将查询修改为
index=_internal source=*license_usage.log type=Usage
| eval MB=b/1024/1024
| timechart span=1d sum(MB) by s where count in top50