Splunk Search
Highlighted

No result found when search it by Fast mode or Smart mode

Explorer

We run transforming search like
[index=myIndex earliest="08/26/2014:00:00:00" latest="08/27/2014:00:00:00" myField = "A" | stats count]
or search like
[index=myIndex earliest="08/26/2014:00:00:00" latest="08/27/2014:00:00:00" myField = "A" | table host]
in the Smart mode or the Fast mode, we have "No results" for some myField. In 99% of cases we have "No results" for myField="A". Occasionally for myField = "B" or "C".
There is no problem when the mode is Verbose.

When the load of the server is high, may a result not display it by a search mode?
Is there something that is considered to be the cause of that?


あるサーチを実行したところ、結果が見つからないことが発生しました。

以下の検索ではイベントがすべて表示されていました。

(1) index=myIndex earliest="08/26/2014:00:00:00" latest="08/27/2014:00:00:00" myField = "A"

しかし、以下のようにサーチコマンド(stats,table)を実行すると結果が表示されません。
(2) [index=myIndex earliest="08/26/2014:00:00:00" latest="08/27/2014:00:00:00" myField = "A" | stats count]
or search like
[index=myIndex earliest="08/26/2014:00:00:00" latest="08/27/2014:00:00:00" myField = "A" | table host]

しかも結果が表示されないサーチのサーチモードを「詳細モード」に変更すると正常に結果が表示されました。
「スマートモード」「高速モード」だと表示されません。

(1)で結果が返っているのにサーチコマンドに渡すと結果が表示されない、という不思議な現象が起きています。

何か類似したケースをご存知の方がいれば教えて頂きたいと思います。

0 Karma
Highlighted

Re: No result found when search it by Fast mode or Smart mode

SplunkTrust
SplunkTrust

You don't see individual events in Fast or Smart mode, only Verbose mode. It usually give a warning when I go to look at events when not in Verbose mode, so you may just not be seeing that message.

0 Karma