• https://docs.splunk.com/Documentation/Splunk/9.0.4/Security/Aboutusersandroles

検索文内で「index=xxx」とインデックスを指定しない場合、検索対象となるインデックスは、各ロールに設定されている、デフォルトでサーチするインデックスとなります。

デフォルトでサーチするインデックスの確認方法

• admin権限を持つユーザーでログインし、Splunk Webの設定＞ロールより、検索を実行したユーザーに設定されているロール名をクリックします。
• 参考画像内の「3. インデックス」より、デフォルトに選択されているインデックスを確認します。

参考画像

以下の画像では、デフォルト列の「main」にチェックが入っているため、検索文内でインデックスを指定しなかった場合、「main」インデックスをサーチします。

上記以外のインデックスを検索する場合には、検索文にてインデックス名を指定してください。

以上