Splunk-search-optimization
提供:Dev Guides
Splunk-検索の最適化
Splunkには、最適化機能がすでに含まれており、検索を分析および処理して効率を最大化します。 この効率は、主に次の2つの最適化目標によって達成されます-
- 早期フィルタリング-これらの最適化は結果を非常に早期にフィルタリングするため、検索プロセス中に処理されるデータの量が可能な限り早く削減されます。 この早期フィルターにより、最終的な検索結果の一部ではないイベントの不要な検索および評価計算が回避されます。
- 並列処理-組み込みの最適化により、検索処理を並べ替えることができるため、最終処理のために検索結果を検索ヘッドに送信する前に、できるだけ多くのコマンドがインデクサーで並行して実行されます。
検索の最適化の分析
Splunkは、検索の最適化の仕組みを分析するツールを提供してくれました。 これらのツールは、フィルター条件の使用方法と、これらの最適化手順の順序を把握するのに役立ちます。 また、検索操作に関連するさまざまなステップのコストも提供します。
例
失敗、失敗、またはパスワードという単語を含むイベントを見つけるための検索操作を検討してください。 この検索クエリを検索ボックスに配置すると、組み込みのオプティマイザーが自動的に動作して検索のパスを決定します。 特定の数の検索結果を返すのに検索にかかった時間を確認できます。必要に応じて、最適化の各ステップとそれに関連するコストを確認できます。
以下に示すように、これらの詳細を取得するには、*検索→ジョブ→ジョブの検査*のパスに従います-
次の画面には、上記のクエリで発生した最適化の詳細が表示されます。 ここで、イベントの数と結果を返すのにかかった時間を記録する必要があります。
最適化をオフにする
また、組み込みの最適化をオフにして、検索結果にかかる時間の違いを確認することもできます。 結果は、組み込みの検索よりも優れている場合とそうでない場合があります。 より良い場合には、この特定の検索に対してのみ最適化をオフにするこのオプションを常に選択できます。
次の図では、検索クエリで noop として表示される最適化なしコマンドを使用しています。
次の画面は、最適化を使用しない結果を示しています。 このクエリでは、組み込みの最適化を使用せずに結果が高速になります。
