为什么在查询中添加“index=*”会出现数据?
Why data appear if I add " index=* " in the query?
我正在使用splunk搜索公司的日志。
我想知道,为什么我需要在查询中添加 "index=",例如
环境=开发指数=
没有"index=*",将不会返回任何数据。
我们为什么需要它?这是什么意思?
我很困惑,因为每个术语都应该是一个限制因素,例如再加一个过滤项index=*,应该会减少返回的数据集。
珍妮特,
您搜索的 Splunk 应用程序 运行 有一个可配置的默认索引列表,它运行搜索,例如,默认搜索应用程序针对所有非 Splunk 内部索引(以 _ 开头的索引)
这是有充分理由的,这样 Splunk 就不必在所有索引中检查您的关键字术语,从而更快地计算您的 SPL
如果您的团队一直不得不在您的大部分搜索中指定索引,这将证明您的 Splunk 管理员有理由为您的 team/App 所有者
创建一个单独的 Splunk 应用程序
PS:最好问下Splunk官方论坛搜索,Splunk Answers
我正在使用splunk搜索公司的日志。
我想知道,为什么我需要在查询中添加 "index=",例如 环境=开发指数=
没有"index=*",将不会返回任何数据。
我们为什么需要它?这是什么意思?
我很困惑,因为每个术语都应该是一个限制因素,例如再加一个过滤项index=*,应该会减少返回的数据集。
珍妮特, 您搜索的 Splunk 应用程序 运行 有一个可配置的默认索引列表,它运行搜索,例如,默认搜索应用程序针对所有非 Splunk 内部索引(以 _ 开头的索引)
这是有充分理由的,这样 Splunk 就不必在所有索引中检查您的关键字术语,从而更快地计算您的 SPL
如果您的团队一直不得不在您的大部分搜索中指定索引,这将证明您的 Splunk 管理员有理由为您的 team/App 所有者
创建一个单独的 Splunk 应用程序PS:最好问下Splunk官方论坛搜索,Splunk Answers