通配符搜索是否会减慢 Splunk 结果搜索速度?

Does wildcard search slow down Splunk results search?

我使用 Splunk Enterprise 并尝试优化我的查询,所以我写了

(1) *index = "main" AND host = "prod" source = "/sys/logs/myApplication.log" AND httpStatus = 201

(2) index = "main" AND host = "com.myorganization.london.prod" source = "/sys/logs/myApplication.log" AND httpStatus = 201

我们只有一个 prod 实例,上面有 myApplication.log,所以源-主机联合给出一个结果,但有超过 100 个产品主机。哪种方法更好(1)或(2)。为什么?

更具体的搜索比不太具体的搜索更好。通过 运行 自己查看并比较作业检查器中的信息。