Splunk - Arama Optimizasyonu

Splunk zaten optimizasyon özelliklerini içerir, aramalarınızı maksimum verimlilik için analiz eder ve işler. Bu verimlilik, temel olarak aşağıdaki iki optimizasyon hedefiyle elde edilir:

  • Early Filtering- Bu optimizasyonlar sonuçları çok erken filtreler, böylece işlenen veri miktarı arama işlemi sırasında olabildiğince erken azaltılır. Bu erken filtre, nihai arama sonuçlarının parçası olmayan olaylar için gereksiz arama ve değerlendirme hesaplamalarını önler.

  • Parallel Processing - Yerleşik optimizasyonlar, arama işlemini yeniden sıralayabilir, böylece arama sonuçlarını son işlem için arama başlığına göndermeden önce mümkün olduğunca çok sayıda komut indeksleyiciler üzerinde paralel olarak çalıştırılır.

Arama Optimizasyonlarını Analiz Etme

Splunk, arama optimizasyonunun nasıl çalıştığını analiz etmek için bize araçlar verdi. Bu araçlar, filtre koşullarının nasıl kullanıldığını ve bu optimizasyon adımlarının sırasının ne olduğunu anlamamıza yardımcı olur. Ayrıca bize arama operasyonlarında yer alan çeşitli adımların maliyetini de verir.

Misal

Şu kelimeleri içeren olayları bulmak için bir arama işlemi düşünün: başarısız, başarısız veya şifre. Bu arama sorgusunu arama kutusuna koyduğumuzda, yerleşik iyileştiriciler, aramanın yoluna karar vermek için otomatik olarak hareket eder. Aramanın belirli sayıda arama sonucunu döndürmesinin ne kadar sürdüğünü doğrulayabiliriz ve gerekirse optimizasyonun her adımını ve bununla ilişkili maliyetle birlikte kontrol etmeye devam edebiliriz.

Yolunu takip ediyoruz Search → Job → Inspect Job bu ayrıntıları aşağıda gösterildiği gibi almak için -

Bir sonraki ekran, yukarıdaki sorgu için meydana gelen optimizasyonun ayrıntılarını verir. Burada, olay sayısını ve sonucu döndürmek için geçen süreyi not etmemiz gerekiyor.

Optimizasyonu Kapatma

Ayrıca yerleşik optimizasyonu kapatabilir ve arama sonucu için geçen zamandaki farkı görebiliriz. Sonuç, yerleşik aramadan daha iyi olabilir veya olmayabilir. Daha iyi olması durumunda, yalnızca bu belirli arama için optimizasyonu kapatmak için bu seçeneği her zaman seçebiliriz.

Aşağıdaki diyagramda, şu şekilde sunulan Optimizasyon Yok komutunu kullanıyoruz noop arama sorgusunda.

Bir sonraki ekran bize optimizasyon kullanmamanın sonucunu veriyor. Bu belirli sorgu için, dahili optimizasyonlar kullanılmadan sonuçlar daha hızlı gelir.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved