Ich hasse hasse hasse es, wenn Tools (Sprich: Splunk) meine Ergebnisse künstlich beschränken.

Nehmen wir diese Beispielsuche:
index=some_index ip=127.0.0.1 | bucket _time span=5m | eval hour_min=strftime(_time, "%H:%M") | chart count over ip by hour_min usenull=f useother=f | hour_min

Sieht doch gut aus? Aber leider leider bekommt man nicht mehr als 10 Spalten zurück.

Lösung:
index=some_index ip=127.0.0.1 | bucket _time span=5m | eval hour_min=strftime(_time, "%H:%M") | chart count over ip by hour_min usenull=f useother=f limit=0 | sort hour_min

Aber halt, warum bekomme ich nur 10000 Zeilen an Ergebnissen zurück? Da müsste doch mehr sein? Richtig, auch hier limitiert Splunk dich künstlich:

Lösung:
index=some_index ip=127.0.0.1 | bucket _time span=5m | eval hour_min=strftime(_time, "%H:%M") | chart count over ip by hour_min usenull=f useother=f limit=0 | sort 0 hour_min

Vielleich hilft das mal jemandem, mich hat es gerade Lebenszeit beim Googlen gekostet.