Я использую Splunk Enterprise и пытаюсь оптимизировать свой запрос, поэтому пишу
(1) * index = "main" AND host = " prod" source = "/ sys / logs / myApplication.log "AND httpStatus = 201
(2) index =" main "AND host =" com.myorganization.london.prod "source =" /sys/logs/myApplication.log "AND httpStatus = 201
У нас есть только один экземпляр prod, в котором есть myApplication.log, поэтому соединение источник-хост дает один результат, но имеет более 100 хостов prod.Какой подход лучше (1) или (2).И почему?