通过splunk SDK执行查询时,显然会在100个条目后剪切结果。如何摆脱这个限制?
我试过了:
>job = service.jobs.create(qstring,max_count=0, max_time=0, count=10000)
>while not job.is_ready():
time.sleep(1)
>out = list(results.ResultsReader(job.results()))
>print(len(out))
100
但是,splunk web界面中的相同查询会产生超过100行结果。
答案 0 :(得分:2)
尝试job.results( count = 0 ) count = 0表示无限制。
答案 1 :(得分:1)
这是一个似乎有效的黑客攻击(但这肯定不是正确的方法):
splunklib.binding中的
HttpLib.get和HttpLib.post,将以下行添加到每个方法的开头:
kwargs['count'] = 100000