Splunk-検索最適化

Splunkにはすでに最適化機能が含まれており、検索を分析および処理して最大の効率を実現します。この効率は、主に次の2つの最適化目標によって達成されます。

  • Early Filtering−これらの最適化は結果を非常に早期にフィルタリングするため、検索プロセス中に処理されるデータの量が可能な限り早期に削減されます。この初期のフィルターは、最終的な検索結果の一部ではないイベントの不要なルックアップと評価の計算を回避します。

  • Parallel Processing −組み込みの最適化により、検索処理を並べ替えることができるため、最終処理のために検索結果を検索ヘッドに送信する前に、インデクサーで可能な限り多くのコマンドが並行して実行されます。

検索最適化の分析

Splunkは、検索最適化がどのように機能するかを分析するためのツールを提供してくれました。これらのツールは、フィルター条件がどのように使用され、これらの最適化ステップのシーケンスが何であるかを理解するのに役立ちます。また、検索操作に関連するさまざまなステップのコストもわかります。

「fail」、「failed」、または「password」という単語を含むイベントを見つけるための検索操作について考えてみます。この検索クエリを検索ボックスに入力すると、組み込みのオプティマイザーが自動的に機能して検索のパスを決定します。検索が特定の数の検索結果を返すのにかかった時間を確認でき、必要に応じて、最適化のすべてのステップとそれに関連するコストを確認できます。

私たちはの道をたどります Search → Job → Inspect Job 以下に示すようにこれらの詳細を取得するには-

次の画面には、上記のクエリで発生した最適化の詳細が表示されます。ここでは、イベントの数と結果を返すのにかかる時間を記録する必要があります。

最適化をオフにする

組み込みの最適化をオフにして、検索結果にかかる時間の違いに気付くこともできます。結果は、組み込みの検索よりも優れている場合とそうでない場合があります。より良い場合は、この特定の検索に対してのみ最適化をオフにするこのオプションを常に選択できます。

次の図では、次のように表示される[最適化なし]コマンドを使用しています。 noop 検索クエリで。

次の画面は、最適化を使用しなかった結果を示しています。この特定のクエリでは、組み込みの最適化を使用しなくても結果が速くなります。