我正在使用splunk搜索公司的日志。
我想知道,为什么我需要在查询中添加"index=",例如环境=开发索引=
如果没有"index=*",则不会返回任何数据。
我们为什么需要它?这意味着什么?
我很困惑,因为每个术语都应该是一个限制因素,例如再添加一个过滤术语 index=*,它应该减少返回的数据集。
珍妮特,您正在运行的 Splunk 应用程序搜索有一个可配置的默认索引列表,例如默认搜索应用程序针对所有非 Splunk 内部索引(以 _ 开头的索引(运行
这是有充分理由的,这样Splunk就不必检查所有索引的关键字术语,从而更快地计算SPL
如果您的团队一直必须在大多数搜索中指定索引,那么 Splunk 管理员将证明为您的团队/应用程序所有者创建一个单独的 Splunk 应用程序是合理的
PS:最好在官方论坛上询问下一个Splunk搜索,Splunk Answers。