如何解决Splunk限制了stats list函数返回的结果
我有一个杂音查询,该查询返回特定字段的值的列表。值的数量可以远远超过100,但返回的结果数限制为100行,而我得到的警告是此-
'stats'命令:达到字段“ FieldX”的值的限制。某些值可能已被截断或忽略。
有问题的查询可以这样简单-
|统计信息列表(FieldX)
请注意,我不能使用 表FieldX ,因为我希望根据其他字段对结果进行分组。同样,我不能使用 stats values(FieldX) ,因为我从事件中提取2个字段,并且如果使用 stats values() ,顺序被弄乱了。
我尝试了 统计信息列表(值)限制= 500 ,但这没有帮助。如何获得所有结果?
解决方法
如果您很难使用 list(values)逻辑,唯一的选择是从 limits.conf 中增加 list_maxsize 的值。请在此处查看完整的limits.conf手动输入:https://docs.splunk.com/Documentation/Splunk/latest/Admin/limitsconf#.5Bstats.7Csistats.5D
list_maxsize 是系统范围的配置,因此您必须:
- 建立与Splunk实例的控制台连接
- 修改limits.conf,更改 list_maxsize = 500
- 重新启动splunk进程
list_maxsize = <integer>
* Maximum number of list items to emit when using the list() function
stats/sistats
* Default: 100
您可以尝试将limits.conf中的list_maxsize属性设置为更高的值。请注意,这将导致查询使用更多的内存。记住在更改配置文件后重新启动Splunk。
引用搜索内容:
index=ndx sourcetype=srctp Location=* Client=* TransactionNumber=* TransactionTime=*
| eval TNTT=TransactionNumber+" sep "+TransactionTime
| stats values(TNTT) as TNTT by Location Client
| rex field=TNTT "(?<TransactionNumber>\S+) sep (?<TransactionTime>.+)"
| table Location Client TransactionNumber TransactionTime
注意:您可能 对eval行进行重新排序,以便在values()行中通过|stats进行排序时添加了字段(并重新排序相应的rex顺序)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。