我使用Splunk Enterprise并尝试优化我的查询,所以我写了
(1) * index =" main" AND host =" prod" source =" /sys/logs/myApplication.log" AND httpStatus = 201
(2) index =" main" AND host =" com.myorganization.london.prod" source =" /sys/logs/myApplication.log" AND httpStatus = 201
我们只有一个prod实例,其中有myApplication.log,所以source-host结合给出了一个结果但结束了 100个生物主机。哪种方法更好(1)或(2)。为什么?
答案 0 :(得分:1)
更具体的搜索优于不太具体的搜索。通过运行两者并比较Job Inspector中的信息,亲眼看看。