[解決済み] Splunk アクセス可能なインデックスとソースを一覧表示する

質問

この検索コマンドを使用する

| eventcount summarize=false | dedup index | fields index

Splunk でアクセス可能なすべてのインデックスのリストを取得します。これ以外に、インデックスのソースが見える別のカラムを取得することは可能でしょうか？

EDITです。 解決策が見つかったような気がします。

| tstats count WHERE index=* sourcetype=* source=* by index, sourcetype, source | fields - count

インデックス、ソースタイプ、およびソースのカラムを含むリストが返されます。

解決方法は？

読み取り権限がある場合 sources によって強制されることはありません。 tstats を使用することができます。 join を元のクエリに追加してください。 inner に参加する。 index というように、見えるインデックスに限定しています。

| tstats count WHERE index=* OR index=_* by index source 
| dedup index source | fields index source 
| join type=inner index [| eventcount summarize=false | dedup index | fields index]