使用Python SDK时,如何获取Splunk搜索结果的完整内容?
我可以从一次性查询中获得结果,但无法获得原始字段的全部内容使用Python SDK时,如何获取Splunk搜索结果的完整内容?,python,splunk,Python,Splunk,我可以从一次性查询中获得结果,但无法获得原始字段的全部内容 import splunklib.client as client import splunklib.results as results def splunk_oneshot(search_string, **CARGS): # Run a oneshot search and display the results using the results reader service = client.connect
import splunklib.client as client
import splunklib.results as results
def splunk_oneshot(search_string, **CARGS):
# Run a oneshot search and display the results using the results reader
service = client.connect(**CARGS)
oneshotsearch_results = service.jobs.oneshot(search_string)
# Get the results and display them using the ResultsReader
reader = results.ResultsReader(oneshotsearch_results)
for item in reader:
for key in item.keys():
print(key, len(item[key]), item[key])
('_raw', 120, '2013-05-03 22:17:18,497+0000 [SWF Activity attNsgActivitiesTaskList1 19] INFO c.s.r.h.s.a.n.AttNsgSmsRequestAdapter - ')
因此,此内容被截断为120个字符。我需要搜索结果的整个值,因为我需要运行一些字符串比较。我没有找到任何关于ResultsReader字段或其大小限制的文档。我的猜测是,这是由于在事件原始数据中插入了特殊标记,以在Splunk UI前端突出显示匹配的搜索词造成的。很可能,您的搜索字符串指定了在截断点处原始数据中存在的匹配文字项。这不是SDK结果获取方法的适当默认行为,并且当前打开了一个bug来修复此问题(内部参考DVPL-1519) 幸运的是,避免这个问题相当简单:只需将
segmentation='none'oneshotsearch\u results=service.jobs.oneshot(search\u string,segmentation='none')(……)
请注意,service.jobs()方法的“segmentation”参数仅在Splunk 5.0及更高版本上可用。这解决了问题,感谢hexx!有关于这些结果字段的文档吗?关于
jobs.oneshot()/services/search/jobs/{SID}/eventsjobs.oneshot()job.results()