通配符搜索是否会减慢 Splunk 结果搜索速度?
Does wildcard search slow down Splunk results search?
我使用 Splunk Enterprise 并尝试优化我的查询,所以我写了
(1)
*index = "main" AND host = "prod" source = "/sys/logs/myApplication.log" AND httpStatus = 201
(2)
index = "main" AND host = "com.myorganization.london.prod" source = "/sys/logs/myApplication.log" AND httpStatus = 201
我们只有一个 prod 实例,上面有 myApplication.log,所以源-主机联合给出一个结果,但有超过
100 个产品主机。哪种方法更好(1)或(2)。为什么?
更具体的搜索比不太具体的搜索更好。通过 运行 自己查看并比较作业检查器中的信息。
我使用 Splunk Enterprise 并尝试优化我的查询,所以我写了
(1) *index = "main" AND host = "prod" source = "/sys/logs/myApplication.log" AND httpStatus = 201
(2) index = "main" AND host = "com.myorganization.london.prod" source = "/sys/logs/myApplication.log" AND httpStatus = 201
我们只有一个 prod 实例,上面有 myApplication.log,所以源-主机联合给出一个结果,但有超过 100 个产品主机。哪种方法更好(1)或(2)。为什么?
更具体的搜索比不太具体的搜索更好。通过 运行 自己查看并比较作业检查器中的信息。