Splunk уже включает функции оптимизации, анализирует и обрабатывает ваши поиски для максимальной эффективности. Эта эффективность достигается в основном за счет следующих двух целей оптимизации —
-
Ранняя фильтрация — эта оптимизация фильтрует результаты очень рано, так что объем обрабатываемых данных сокращается как можно раньше в процессе поиска. Этот ранний фильтр позволяет избежать ненужных поисков и вычислений для событий, которые не являются частью окончательных результатов поиска.
-
Параллельная обработка — встроенная оптимизация может изменить порядок обработки поиска, так чтобы как можно больше команд выполнялось параллельно на индексаторах перед отправкой результатов поиска в поисковую головку для окончательной обработки.
Ранняя фильтрация — эта оптимизация фильтрует результаты очень рано, так что объем обрабатываемых данных сокращается как можно раньше в процессе поиска. Этот ранний фильтр позволяет избежать ненужных поисков и вычислений для событий, которые не являются частью окончательных результатов поиска.
Параллельная обработка — встроенная оптимизация может изменить порядок обработки поиска, так чтобы как можно больше команд выполнялось параллельно на индексаторах перед отправкой результатов поиска в поисковую головку для окончательной обработки.
Анализ поисковых оптимизаций
Splunk предоставил нам инструменты для анализа работы поисковой оптимизации. Эти инструменты помогают нам выяснить, как используются условия фильтра и какова последовательность этих шагов оптимизации. Это также дает нам стоимость различных шагов, связанных с поисковыми операциями.
пример
Рассмотрим операцию поиска, чтобы найти события, содержащие слова: сбой, сбой или пароль. Когда мы помещаем этот поисковый запрос в поле поиска, встроенные оптимизаторы действуют автоматически, чтобы определить путь поиска. Мы можем проверить, сколько времени потребовалось для поиска определенного количества результатов поиска, и при необходимости можно продолжить проверку каждого шага оптимизации вместе с затратами, связанными с ним.
Мы следуем по пути Поиск → Работа → Проверить работу, чтобы получить эти данные, как показано ниже —
На следующем экране приведены подробности оптимизации, которая произошла для вышеуказанного запроса. Здесь нам нужно отметить количество событий и время, необходимое для возврата результата.
Отключение оптимизации
Мы также можем отключить встроенную оптимизацию и заметить разницу во времени, затраченном на результат поиска. Результат может или не может быть лучше, чем встроенный поиск. В случае, если это лучше, мы всегда можем выбрать этот вариант отключения оптимизации только для этого конкретного поиска.
На приведенной ниже диаграмме мы используем команду Без оптимизации, представленную как noop в поисковом запросе.
Следующий экран дает нам результат использования без оптимизации. Для данного запроса результаты приходят быстрее без использования встроенных оптимизаций.