one_shot クエリから結果を取得できますが、_raw フィールドの完全な内容を取得できません。
import splunklib.client as client
import splunklib.results as results
def splunk_oneshot(search_string, **CARGS):
# Run a oneshot search and display the results using the results reader
service = client.connect(**CARGS)
oneshotsearch_results = service.jobs.oneshot(search_string)
# Get the results and display them using the ResultsReader
reader = results.ResultsReader(oneshotsearch_results)
for item in reader:
for key in item.keys():
print(key, len(item[key]), item[key])
これにより、_raw について次のようになります。
('_raw', 120, '2013-05-03 22:17:18,497+0000 [SWF Activity attNsgActivitiesTaskList1 19] INFO c.s.r.h.s.a.n.AttNsgSmsRequestAdapter - ')
したがって、このコンテンツは 120 文字で切り捨てられます。いくつかの文字列比較を実行する必要があるため、検索結果の値全体が必要です。ResultsReader フィールドまたはそのサイズ制限に関するドキュメントは見つかりませんでした。