検索結果では 10,000 件以上のイベントが表示されているが、アラートメールで結果を csv ファイルとして添付したところ、10,000 件しか含まれていませんでした。添付のcsvファイルに 10,000 件以上の結果を表示する方法を教えてください。
デフォルトで splunk/etc/system/default/alert_actions.conf には「maxresults = 10000」として設定されているため、csv ファイルには 10,000 件しか含まれません。必要に応じて local フォルダ内の alert_actions.conf の maxresults を変更することで 10,000 件以上の結果を csv ファイルとして添付することができます。
View solution in original post
