Splunkを利用していると時折でる警告メッセージ
意味としては同時に行われるサーチ数が8であと一つでリミットだぞという状況。
しかし特にサーチを実行してはいないときでもこのメッセージが出ることがある。
同じ質問が英語でなされていた。
納得のいく答えがこれ
Some of real time search will be run whenever you view the top of the search App. And I guess some saved search still remains so that you wee the warning.
いくつかのリアルタイムサーチはサーチappのTOPを開いたたびに流れます。おそらくあなたが警告を見たタイミングでいくつかのサーチが残っていたのでしょう。
その情報の通り、リロードしたら警告は消えていた。
リミットの制限は設定ファイルで行っている。変更したければ以下の手順に従うべし
$ sudo touch $SPLUNK_HOME/etc/system/local/limits.conf $ sudo vim $SPLUNK_HOME/etc/system/local/limits.conf [search] base_max_searches=100 max_searches_per_cpu=10
splunkを再起動すると反映される。上記例だと100+CPU*10なので、シングルコアなら110同時サーチ可能ということ。