通过splunk SDK执行查询时,显然会在100个条目后剪切结果.如何绕过这个限制?
我试过了:
>job = service.jobs.create(qstring,max_count=0, max_time=0, count=10000)
>while not job.is_ready():
time.sleep(1)
>out = list(results.ResultsReader(job.results()))
>print(len(out))
100
但是,splunk Web界面中的相同查询会产生超过100行结果.
这是一个看起来可行的黑客(但这肯定不是正确的方法):
在 splunklib.binding 中
HttpLib.get 和 HttpLib.post,将以下行添加到每个方法的开头:
kwargs['count'] = 100000