Splunk 索引使用搜索将标题为 NULL 的列添加到结果中
Splunk index usage search adding column titled NULL to results
我是 运行 一个相当简单的搜索,用于按源识别我的 Splunk 安装上的索引使用情况,因为我们 运行 通过企业 30 天试用期,目的是使用 Splunk过期后免费:
index=_internal source=*license_usage.log | eval MB=b/1024/1024 | timechart span=1d sum(MB) by s where count in top50
我所有数据源的结果都按预期返回,但在结果末尾有一个标题为 "NULL" 的附加列:
Splunk index search NULL column
我的所有数据都有一个输入源,当我单击该列并选择查看数据时,它没有返回任何结果。
谁能帮我理解这个 NULL 列是什么?如果它是正确的,它表明我正在使用超过 500MB/天的 Splunk Free 限制,我需要在试用期结束前解决这个问题。
出现 NULL 列是因为某些事件没有 's' 字段。您只想将这些事件与 s 字段相加,因此请将您的查询修改为
index=_internal source=*license_usage.log type=Usage
| eval MB=b/1024/1024
| timechart span=1d sum(MB) by s where count in top50
我是 运行 一个相当简单的搜索,用于按源识别我的 Splunk 安装上的索引使用情况,因为我们 运行 通过企业 30 天试用期,目的是使用 Splunk过期后免费:
index=_internal source=*license_usage.log | eval MB=b/1024/1024 | timechart span=1d sum(MB) by s where count in top50
我所有数据源的结果都按预期返回,但在结果末尾有一个标题为 "NULL" 的附加列:
Splunk index search NULL column
我的所有数据都有一个输入源,当我单击该列并选择查看数据时,它没有返回任何结果。
谁能帮我理解这个 NULL 列是什么?如果它是正确的,它表明我正在使用超过 500MB/天的 Splunk Free 限制,我需要在试用期结束前解决这个问题。
出现 NULL 列是因为某些事件没有 's' 字段。您只想将这些事件与 s 字段相加,因此请将您的查询修改为
index=_internal source=*license_usage.log type=Usage
| eval MB=b/1024/1024
| timechart span=1d sum(MB) by s where count in top50