Alerting
Highlighted

10K 以上の結果をアラートメールの csv ファイルとして添付する方法

Contributor

検索結果では 10,000 件以上のイベントが表示されているが、アラートメールで結果を csv ファイルとして添付したところ、10,000 件しか含まれていませんでした。添付のcsvファイルに 10,000 件以上の結果を表示する方法を教えてください。

Tags (3)
0 Karma
Highlighted

Re: 10K 以上の結果をアラートメールの csv ファイルとして添付する方法

Contributor

デフォルトで splunk/etc/system/default/alertactions.conf には「maxresults = 10000」として設定されているため、csv ファイルには 10,000 件しか含まれません。必要に応じて local フォルダ内の alertactions.conf の maxresults を変更することで 10,000 件以上の結果を csv ファイルとして添付することができます。

View solution in original post