Splunk, unlimitiert

Ich hasse hasse hasse es, wenn Tools (Sprich: Splunk) meine Ergebnisse künstlich beschränken.

Nehmen wir diese Beispielsuche:
index=some_index ip=127.0.0.1 | bucket _time span=5m | eval hour_min=strftime(_time, "%H:%M") | chart count over ip by hour_min usenull=f useother=f | hour_min

Sieht doch gut aus? Aber leider leider bekommt man nicht mehr als 10 Spalten zurück.

Lösung:
index=some_index ip=127.0.0.1 | bucket _time span=5m | eval hour_min=strftime(_time, "%H:%M") | chart count over ip by hour_min usenull=f useother=f limit=0 | sort hour_min

Aber halt, warum bekomme ich nur 10000 Zeilen an Ergebnissen zurück? Da müsste doch mehr sein? Richtig, auch hier limitiert Splunk dich künstlich:

Lösung:
index=some_index ip=127.0.0.1 | bucket _time span=5m | eval hour_min=strftime(_time, "%H:%M") | chart count over ip by hour_min usenull=f useother=f limit=0 | sort 0 hour_min

Vielleich hilft das mal jemandem, mich hat es gerade Lebenszeit beim Googlen gekostet.

Zusatzversichert euch

Ja, genau. Wenn ihr euch das irgendwie leisten könnt, nehmt euch eine Krankenzusatzversicherung dazu. Ich durfte die letzten Wochen öfter jemand im Spital besuchen, der nicht zusatzversichert war: Ein enges Dreierzimmer, nicht klimatisiert in einem alten Gebäude. Dass das der Genesung nicht zuträglich ist, kann sich jede/r von euch selbst vorstellen. Holzklasse.

Achja, Nebenbefund: Beim Betreten des Spitals musste ich zwar meinen 3G Nachweis herzeigen, aber der wurde nur mit freiem Auge überprüft. Kein Scan mit qr.gv.at oder greencheck.gv.at, keine Ausweiskontrolle. YOLO!