Para responder à sua pergunta sobre por que o comando transaction é lento em grandes implantações do Splunk, vamos analisar cada uma das alternativas: A. Força a pesquisa a ser executada em modo rápido. - Isso não é verdade, pois o comando transaction não força a pesquisa a ser executada em modo rápido; na verdade, ele pode ser mais lento. B. O transaction é executado em cada indexador em paralelo. - Embora o Splunk utilize indexadores em paralelo, isso não é a razão pela qual o comando transaction é lento. C. Força todos os dados de eventos a serem retornados para o search head. - Esta é uma afirmação correta. O comando transaction precisa coletar todos os eventos relevantes para formar a transação, o que pode resultar em um grande volume de dados sendo retornado ao search head, tornando o processo mais lento. D. O transaction executa um eval oculto para formatar campos. - Embora o comando transaction possa envolver a formatação de campos, isso não é a principal razão para a lentidão. Portanto, a alternativa correta é: C. Força todos os dados de eventos a serem retornados para o search head.