Splunk - Otimização de pesquisa

O Splunk já inclui os recursos de otimização, análises e processos de suas pesquisas para a máxima eficiência. Essa eficiência é alcançada principalmente por meio dos dois objetivos de otimização a seguir -

  • Early Filtering- Essas otimizações filtram os resultados muito cedo para que a quantidade de dados processados ​​seja reduzida o mais cedo possível durante o processo de pesquisa. Esse filtro inicial evita cálculos de pesquisa e avaliação desnecessários para eventos que não fazem parte dos resultados finais da pesquisa.

  • Parallel Processing - As otimizações integradas podem reordenar o processamento de pesquisa, de modo que o maior número possível de comandos seja executado em paralelo nos indexadores antes de enviar os resultados da pesquisa ao cabeçote de pesquisa para processamento final.

Analisando Otimizações de Pesquisa

O Splunk nos deu ferramentas para analisar como funciona a otimização de busca. Essas ferramentas nos ajudam a descobrir como as condições do filtro são usadas e qual é a sequência dessas etapas de otimização. Também nos dá o custo das várias etapas envolvidas nas operações de pesquisa.

Exemplo

Considere uma operação de pesquisa para encontrar os eventos que contêm as palavras: falha, falha ou senha. Quando colocamos essa consulta de pesquisa na caixa de pesquisa, os otimizadores integrados agem automaticamente para decidir o caminho da pesquisa. Podemos verificar quanto tempo a pesquisa demorou para retornar um número específico de resultados de pesquisa e, se necessário, podemos continuar a verificar cada etapa da otimização, juntamente com o custo associado a ela.

Seguimos o caminho de Search → Job → Inspect Job para obter esses detalhes conforme mostrado abaixo -

A próxima tela fornece detalhes da otimização que ocorreu para a consulta acima. Aqui, precisamos anotar o número de eventos e o tempo necessário para retornar o resultado.

Desligando a Otimização

Também podemos desligar a otimização embutida e notar a diferença no tempo gasto para o resultado da pesquisa. O resultado pode ou não ser melhor do que a pesquisa embutida. Caso seja melhor, podemos sempre escolher esta opção de desligar a otimização apenas para esta pesquisa específica.

No diagrama abaixo, usamos o comando Sem Otimização apresentado como noop na consulta de pesquisa.

A próxima tela nos dá o resultado de não usar otimização. Para esta consulta, os resultados chegam mais rápido sem usar otimizações integradas.