Я использую splunk для поиска журнала компании.
Мне интересно, зачем мне добавлять в запрос "index = ", например env = dev index =
Без «index = *» данные не будут возвращены.
Зачем нам это нужно? а что это значит?
Я смущен, потому что каждый термин должен быть ограничивающим фактором, например добавить еще одно условие фильтрации index = *, это должно уменьшить возвращаемый набор данных.
Джанет, приложение Splunk, которое вы используете для поиска, имеет настраиваемый список индексов по умолчанию, по которым он выполняет поиск, например, приложение поиска по умолчанию работает со всеми внутренними индексами, отличными от Splunk (те, которые начинаются с _)
На то есть веская причина: таким образом Splunk избавляется от необходимости проверять ключевые слова по всем индексам, быстрее вычисляя ваш SPL.
Если ваша команда продолжает указывать индексы в большинстве ваших поисковых запросов, это оправдывает вашего администратора Splunk создать отдельное приложение Splunk для вашей команды / владельцев приложений.
PS: Лучше всего спросить о следующих поисках Splunk на официальном форуме, ответы Splunk.
