Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

subsearchの上限について

nishida_tada_ca
Loves-to-Learn Lots
‎12-18-2019 12:42 AM

subsearchの上限について教えてください。
デフォルト10000件のままですが10000件を超えたsubsearchが使用可能なように思えます。
どのようなケースでエラーになりますでしょうか。

0 Karma
Reply

HiroshiSatoh
Champion
‎12-25-2019 10:24 PM

マニュアルを読んでもらえば記述が見つかると思いますが、maxoutはappend等のコマンドはデフォルト値を別に持っているのでそちらが優先されます。なのでlimits.confを超えて出力されます。
https://docs.splunk.com/Documentation/Splunk/latest/Search/Aboutsubsearches

<サブサーチでlimits.confの値を使う例>※10000件でエラー
index=* [| makeresults count=100000|table _time]

<append のmaxoutの値が使われる例>※50000件でエラー
| makeresults |append [| makeresults count=100000]

Reply

to4kawa
Ultra Champion
‎12-18-2019 06:13 AM

about sub searches

limits.confの設定を変えていなくて、10000件以上の結果が返ってきたのですか?

0 Karma
Reply

tkomatsubara_sp
Splunk Employee
Splunk Employee
‎12-25-2019 07:23 AM

[アクティビティ]-[ジョブ]-の先で、対象サーチに対して、search.logのログでlimits.confに抵触したかどうかが分かります。
やりたい内容によっては、subsearchを使わずに済む場合があり、熟練した方はsubsearchをいかに回避するか、がコツです。
具体的なSPLなどをご記入いただければ、もう少しアドバイスが可能かと思います。

0 Karma
Reply
Get Updates on the Splunk Community!

Enterprise Security Content Update (ESCU) | New Releases

In December, the Splunk Threat Research Team had 1 release of new security content via the Enterprise Security ...

Why am I not seeing the finding in Splunk Enterprise Security Analyst Queue?

(This is the first of a series of 2 blogs). Splunk Enterprise Security is a fantastic tool that offers robust ...

Index This | What are the 12 Days of Splunk-mas?

December 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...