Splunk ограничивает результаты, возвращаемые функцией stats list ()

У меня есть splunk-запрос, который возвращает список значений для определенного поля. Количество значений может быть намного больше 100, но количество возвращаемых результатов ограничено 100 строками, и я получаю следующее предупреждение:

Команда 'stats': достигнут предел значений поля 'FieldX'. Некоторые значения могли быть усечены или проигнорированы.

Рассматриваемый запрос может быть таким же простым, как этот -

| список статистики (FieldX)

Обратите внимание, что я не могу использовать table FieldX, так как хочу, чтобы результаты группировались на основе другого поля. Также я не могу использовать значения статистики (FieldX), так как я извлекаю 2 поля из события, и эти поля имеют сопоставление один-к-одному, если я использую < strong> stats values ​​(), порядок неверен.

Я попробовал лимит списка (значений) статистики = 500, но это не помогает. Как мне вернуть все результаты?


splunk splunk-query splunk-sdk
person Kunal gupta    schedule 08.09.2020    source источник
comment
Каков ваш актуальный поиск сейчас? У вас есть образцы данных? вероятно есть другой способ сделать то, что вы пытаетесь достичь.   -  person warren    schedule 08.09.2020
comment
Поиск выглядит так - | список статистики (Поле1) список (Поле2) по Поле3 Поле4. field1 и field2 имеют однозначное сопоставление в событиях, и я хочу сохранить его.   -  person Kunal gupta    schedule 08.09.2020
comment
Исходный вопрос - stackoverflow.com/ questions / 63689944 /   -  person Kunal gupta    schedule 08.09.2020
comment
Мой ответ на ваш первый вопрос должен справиться и с этим   -  person warren    schedule 08.09.2020

Ответы (3)


arrow_upward
2
arrow_downward

Единственный вариант, если у вас есть жесткое требование к использованию логики list (values), - это увеличить значение list_maxsize из limits.conf. См. Полный ввод вручную limits.conf здесь: https://docs.splunk.com/Documentation/Splunk/latest/Admin/limitsconf#.5Bstats.7Csistats.5D

list_maxsize - это общесистемная конфигурация, поэтому вам необходимо:

  • установить консольное соединение с экземпляром Splunk
  • отредактируйте файл limits.conf, изменив значение list_maxsize = 500
  • перезапустить процесс splunk
list_maxsize = <integer>
* Maximum number of list items to emit when using the list() function
  stats/sistats
* Default: 100
person Honky Donkey    schedule 08.09.2020

arrow_upward
1
arrow_downward

Вы можете попробовать установить для атрибута list_maxsize в limits.conf более высокое значение. Имейте в виду, что это приведет к тому, что запрос будет использовать больше памяти. Не забудьте перезапустить Splunk после изменения файла конфигурации.

person RichG    schedule 08.09.2020

arrow_upward
1
arrow_downward

Проверьте мой ответ на ваш другой, связанный вопрос

Цитируя поиск по нему:

index=ndx sourcetype=srctp Location=* Client=* TransactionNumber=* TransactionTime=*
| eval TNTT=TransactionNumber+" sep "+TransactionTime
| stats values(TNTT) as TNTT by Location Client
| rex field=TNTT "(?<TransactionNumber>\S+) sep (?<TransactionTime>.+)"
| table Location Client TransactionNumber TransactionTime

Примечание: вам может потребоваться изменить порядок строки eval, с помощью которой добавляются поля при сортировке через values() в строке |stats (а также изменить порядок соответствующего rex порядка)

person warren    schedule 08.09.2020
comment
Это помогает. Спасибо. Кое-что узнал. (: - person Kunal gupta; 09.09.2020