subsearchの上限について

nishida_tada_ca · ‎12-18-2019

subsearchの上限について教えてください。
デフォルト10000件のままですが10000件を超えたsubsearchが使用可能なように思えます。
どのようなケースでエラーになりますでしょうか。

HiroshiSatoh · ‎12-25-2019

マニュアルを読んでもらえば記述が見つかると思いますが、maxoutはappend等のコマンドはデフォルト値を別に持っているのでそちらが優先されます。なのでlimits.confを超えて出力されます。
https://docs.splunk.com/Documentation/Splunk/latest/Search/Aboutsubsearches

＜サブサーチでlimits.confの値を使う例＞※10000件でエラー
index=* [| makeresults count=100000|table _time]

＜append のmaxoutの値が使われる例＞※50000件でエラー
| makeresults |append [| makeresults count=100000]

to4kawa · ‎12-18-2019

about sub searches

limits.confの設定を変えていなくて、10000件以上の結果が返ってきたのですか？

tkomatsubara_sp · ‎12-25-2019

[アクティビティ]-[ジョブ]-の先で、対象サーチに対して、search.logのログでlimits.confに抵触したかどうかが分かります。
やりたい内容によっては、subsearchを使わずに済む場合があり、熟練した方はsubsearchをいかに回避するか、がコツです。
具体的なSPLなどをご記入いただければ、もう少しアドバイスが可能かと思います。

subsearchの上限について

.conf25 Global Broadcast: Don’t Miss a Moment

Observe and Secure All Apps with Splunk

What's New in Splunk Observability - August 2025

Are you a member of the Splunk Community?

subsearchの上限について

.conf25 Global Broadcast: Don’t Miss a Moment

Observe and Secure All Apps with Splunk

What's New in Splunk Observability - August 2025