Почему данные появляются, если я добавляю «index = *» в запрос?

Question

Я использую splunk для поиска журнала компании.

Мне интересно, почему мне нужно добавить «index = » в запрос, например. env = dev index =

Без "index = *" данные не будут возвращены.

Зачем нам это нужно? и что это значит?

Я смущен, потому что каждый термин должен быть ограничивающим фактором, например. добавьте еще один индекс терминов фильтрации = *, он должен уменьшить возвращаемый набор данных.

Answer 1

Janet, Приложение Splunk, в котором выполняется этот поиск, имеет настраиваемый список индексов по умолчанию, на которые выполняется поиск, например, например, приложение поиска по умолчанию работает против всех внутренних индексов Non Splunk (те, которые начинаются с _)

Это по уважительной причине, таким образом Splunk избегает того, чтобы проверить для ваших ключевых слов терминов по всем показателям, вычислительное вашему SPL быстрее

Если ваша команда держит необходимость указывать индексы в большинстве ваших поисков это оправдывало бы вашего администратора Splunk, чтобы создать отдельное приложение Splunk для вашей команды/владельцев приложений

PS: Лучше спросить следующий поиск Splunk на официальном форуме, Splunk Ответы