Splunk Search
×

Are you a member of the Splunk Community?

Sign in or Register with your Splunk account to get your questions answered, access valuable resources and connect with experts!
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 
Ask a Question

subsearchの上限について

nishida_tada_ca
Loves-to-Learn Lots
‎12-18-2019 12:42 AM

subsearchの上限について教えてください。
デフォルト10000件のままですが10000件を超えたsubsearchが使用可能なように思えます。
どのようなケースでエラーになりますでしょうか。

0 Karma
Reply

HiroshiSatoh
Champion
‎12-25-2019 10:24 PM

マニュアルを読んでもらえば記述が見つかると思いますが、maxoutはappend等のコマンドはデフォルト値を別に持っているのでそちらが優先されます。なのでlimits.confを超えて出力されます。
https://docs.splunk.com/Documentation/Splunk/latest/Search/Aboutsubsearches

<サブサーチでlimits.confの値を使う例>※10000件でエラー
index=* [| makeresults count=100000|table _time]

<append のmaxoutの値が使われる例>※50000件でエラー
| makeresults |append [| makeresults count=100000]

Reply

to4kawa
Ultra Champion
‎12-18-2019 06:13 AM

about sub searches

limits.confの設定を変えていなくて、10000件以上の結果が返ってきたのですか?

0 Karma
Reply

tkomatsubara_sp
Splunk Employee
Splunk Employee
‎12-25-2019 07:23 AM

[アクティビティ]-[ジョブ]-の先で、対象サーチに対して、search.logのログでlimits.confに抵触したかどうかが分かります。
やりたい内容によっては、subsearchを使わずに済む場合があり、熟練した方はsubsearchをいかに回避するか、がコツです。
具体的なSPLなどをご記入いただければ、もう少しアドバイスが可能かと思います。

0 Karma
Reply
Get Updates on the Splunk Community!

UCC Framework: Discover Developer Toolkit for Building Technology Add-ons

The Next-Gen Toolkit for Splunk Technology Add-on Development The Universal Configuration Console (UCC) ...

.conf25 Community Recap

Hello Splunkers, And just like that, .conf25 is in the books! What an incredible few days — full of learning, ...

Splunk App Developers | .conf25 Recap & What’s Next

If you stopped by the Builder Bar at .conf25 this year, thank you! The retro tech beer garden vibes were ...