0

我正在使用 splunk 搜索公司的日志。

我想知道,为什么我需要在查询中添加“index=”,例如 env=dev index=

如果没有“index=*”,则不会返回任何数据。

为什么我们需要它?这是什么意思?

我很困惑,因为每个术语都应该是一个限制因素,例如添加一个过滤术语 index=*,它应该减少返回的数据集。

4

1 回答 1

2

Janet,您正在运行的 Splunk 应用程序搜索有一个可配置的默认索引列表,它会针对它运行搜索,例如,默认搜索应用程序针对所有非 Splunk 内部索引(以 _ 开头的索引)运行

这是有充分理由的,这样 Splunk 可以避免在所有索引中检查您的关键字词,从而更快地计算您的 SPL

如果您的团队必须在大多数搜索中指定索引,这将证明您的 Splunk 管理员为您的团队/应用程序所有者创建单独的 Splunk 应用程序是合理的

PS:最好在官方论坛问下Splunk搜索,Splunk Answers

于 2017-02-09T21:11:34.293 回答