- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基礎搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢表
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基礎圖表
- Splunk - 疊加圖表
- Splunk - 微型圖表
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 搜尋最佳化
Splunk 已經包含了最佳化功能,分析並處理您的搜尋以實現最大效率。這種效率主要透過以下兩個最佳化目標實現:
早期過濾 - 這些最佳化會在早期過濾結果,以便在搜尋過程中儘早減少處理的資料量。此早期過濾器避免對不屬於最終搜尋結果的事件進行不必要的查詢和評估計算。
並行處理 - 內建最佳化可以重新排序搜尋處理,以便在將搜尋結果傳送到搜尋頭進行最終處理之前,儘可能多地在索引器上並行執行命令。
分析搜尋最佳化
Splunk 為我們提供了分析搜尋最佳化如何工作的工具。這些工具幫助我們弄清楚如何使用過濾條件以及這些最佳化步驟的順序。它還告訴我們搜尋操作中各個步驟的成本。
示例
考慮一個搜尋操作,查詢包含以下單詞的事件:fail、failed 或 password。當我們將此搜尋查詢放入搜尋框時,內建最佳化器會自動執行操作以確定搜尋路徑。我們可以驗證搜尋返回特定數量的搜尋結果所花費的時間,如果需要,可以繼續檢查最佳化的每個步驟以及與其相關的成本。
我們按照搜尋 → 作業 → 檢查作業的路徑獲取這些詳細資訊,如下所示:
下一個螢幕顯示了上述查詢發生的最佳化的詳細資訊。在這裡,我們需要注意返回結果的事件數量和時間。
關閉最佳化
我們還可以關閉內建最佳化,並注意搜尋結果所花費的時間差異。結果可能比內建搜尋更好也可能更差。如果更好,我們總是可以選擇僅針對此特定搜尋關閉最佳化的選項。
在下圖中,我們在搜尋查詢中使用表示為noop的“無最佳化”命令。
下一個螢幕顯示了不使用最佳化所得到的結果。對於此給定查詢,不使用內建最佳化,結果返回得更快。
廣告