【发布时间】:2021-07-13 16:36:14
【问题描述】:
在 Limits.conf 中,字段限制为 200,我们希望为特定索引提取 500 个字段。尝试限制索引的源类型但不工作。如果我们在 limits.conf 中给出它,它将影响导致高存储使用的每个索引。有没有办法改变特定索引的字段提取
【问题讨论】:
-
您认为需要更改这些默认值的地方有哪些用例?根据docs,如果您更改
limits.conf(这可能是您想要的 - 但听起来不像),您将进行系统范围(即全局)的更改。 -
有一个用户希望在 splunk 中添加大约 450 个字段。如果我们在 limits.conf 中进行更改,那么它将在全局范围内生效,并且有办法将限制限制为特定的索引或源类型。仅供参考,我们是云环境
-
就 Splunk Cloud 而言,这将是一个 Splunk 支持问题。但问题将归结为为什么这个用户认为他需要向给定的源类型添加大约 450 个字段?除非您正在查看退化的 JSON ......这是一个真正疯狂的字段数量来跟踪
-
用户可以在搜索时而不是索引时提取字段吗?
-
他提供了该数字以适应当前和未来对设备数据的现场添加。而sourcetype是Json 什么是退化的JSON 他想要改变indexed_kv_limit
标签: indexing field limit splunk-cloud