我间歇性地从 Splunk API 返回以下错误(大约 40% 的时间搜索按预期工作):
HTTP 503 服务不可用 -- 未执行搜索:无法分派此搜索,因为已达到用户“[已编辑]”的搜索工件的基于角色的磁盘使用配额(使用量 = 1067MB,配额 = 1000MB)。使用 [[/app/search/job_manager|Job Manager]] 删除一些搜索工件,或要求 Splunk 管理员在 authorize.conf 中为您的角色增加搜索工件的磁盘配额。,usage=1067MB,配额=1000MB,用户=[已编辑],concurrency_category="historical",concurrency_context="user_instance-wide"
splunk api 中搜索的默认 ttl 为 10 分钟(至少对于我的公司而言)。我被告知我需要降低我的搜索(大量)的 TTL,并且我将停止用完空间。我没有管理员权限,因此无法即时增加空间或清理空间(据我所知)。我可以找到有关如何使用保存的搜索来降低 TTL 的代码,但我使用一次性搜索。对我来说切换是不合理的。
如何降低单次搜索的 ttl?这是我现在拥有的似乎不会降低 TTL 的内容:
#setup splunk connection
service = client.connect(
host=HOST,
port=PORT,
username=suser,
password=spass,
autologin=True,
)
#setup arguments
kwargs_oneshot = {"count" : "0",
"earliest_time": begin,
"latest_time": end,
"set_ttl":60
}
#setup search job
oneshotsearch_results = service.jobs.oneshot(query, **kwargs_oneshot)
# Get the results and display them using the ResultsReader
reader = results.ResultsReader(oneshotsearch_results)