Splunk - Tối ưu hóa Tìm kiếm
Splunk đã bao gồm các tính năng tối ưu hóa, phân tích và xử lý các tìm kiếm của bạn để đạt hiệu quả tối đa. Hiệu quả này chủ yếu đạt được thông qua hai mục tiêu tối ưu hóa sau:
Early Filtering- Những tối ưu hóa này lọc kết quả rất sớm để lượng dữ liệu được xử lý càng sớm càng tốt trong quá trình tìm kiếm. Bộ lọc sớm này tránh các tính toán tra cứu và đánh giá không cần thiết cho các sự kiện không nằm trong kết quả tìm kiếm cuối cùng.
Parallel Processing - Các tính năng tối ưu hóa tích hợp có thể sắp xếp lại thứ tự xử lý tìm kiếm, để càng nhiều lệnh chạy song song càng tốt trên các trình chỉ mục trước khi gửi kết quả tìm kiếm đến đầu tìm kiếm để xử lý cuối cùng.
Phân tích tối ưu hóa tìm kiếm
Splunk đã cung cấp cho chúng tôi các công cụ để phân tích cách tối ưu hóa tìm kiếm hoạt động. Những công cụ này giúp chúng tôi tìm ra cách các điều kiện bộ lọc được sử dụng và trình tự của các bước tối ưu hóa này là gì. Nó cũng cung cấp cho chúng tôi chi phí của các bước khác nhau liên quan đến hoạt động tìm kiếm.
Thí dụ
Xem xét thao tác tìm kiếm để tìm các sự kiện có chứa các từ: thất bại, không thành công hoặc mật khẩu. Khi chúng tôi đặt truy vấn tìm kiếm này vào hộp tìm kiếm, các trình tối ưu hóa tích hợp sẽ tự động hoạt động để quyết định đường dẫn của tìm kiếm. Chúng tôi có thể xác minh thời gian tìm kiếm để trả lại một số kết quả tìm kiếm cụ thể và nếu cần, có thể tiếp tục kiểm tra từng bước của việc tối ưu hóa cùng với chi phí liên quan đến nó.
Chúng tôi đi theo con đường của Search → Job → Inspect Job để có được những chi tiết này như được hiển thị bên dưới -
Màn hình tiếp theo cung cấp chi tiết về tối ưu hóa đã xảy ra cho truy vấn trên. Ở đây, chúng ta cần lưu ý số sự kiện và thời gian trả về kết quả.
Tắt tối ưu hóa
Chúng tôi cũng có thể tắt tính năng tối ưu hóa tích hợp sẵn và nhận thấy sự khác biệt về thời gian dành cho kết quả tìm kiếm. Kết quả có thể tốt hơn hoặc không thể tốt hơn so với tìm kiếm tích hợp sẵn. Trong trường hợp tốt hơn, chúng tôi có thể luôn chọn tùy chọn tắt tối ưu hóa chỉ cho tìm kiếm cụ thể này.
Trong sơ đồ dưới đây, chúng tôi sử dụng lệnh Không tối ưu hóa được trình bày dưới dạng noop trong truy vấn tìm kiếm.
Màn hình tiếp theo cho chúng ta kết quả của việc sử dụng không tối ưu hóa. Đối với truy vấn nhất định này, kết quả đến nhanh hơn mà không cần sử dụng các tính năng tối ưu hóa có sẵn.