AI 中文社
Copyright © 2022-2024 aizws.net · 网站版本: v1.2.6·内部版本: v1.23.3·
页面加载耗时 0.00 毫秒·物理内存 63.5MB ·虚拟内存 1299.8MB
欢迎来到 AI 中文社区(简称 AI 中文社),这里是学习交流 AI 人工智能技术的中文社区。 为了更好的体验,本站推荐使用 Chrome 浏览器。
Splunk 搜索优化
Splunk 已经包含优化功能、分析和处理您的搜索以实现最高效率。这种效率主要通过以下两个优化目标来实现:
- 早期过滤-这些优化很早就过滤了结果,以便在搜索过程中尽早减少处理的数据量。这种早期过滤器可避免对不属于最终搜索结果的事件进行不必要的查找和评估计算。
- 并行处理-内置优化可以重新排序搜索处理,以便在将搜索结果发送到搜索头进行最终处理之前,在索引器上并行运行尽可能多的命令。
分析搜索优化
Splunk 为我们提供了分析搜索优化如何工作的工具。这些工具帮助我们弄清楚如何使用过滤条件以及这些优化步骤的顺序是什么。它还为我们提供了搜索操作中涉及的各个步骤的成本。
示例
考虑进行搜索操作以查找包含以下词的事件:fail、failed 或 password。当我们将此搜索查询放入搜索框中时,内置优化器会自动确定搜索路径。我们可以验证搜索返回特定数量的搜索结果需要多长时间,如果需要,可以继续检查优化的每一步以及与之相关的成本。
我们按照 搜索→工作→检查工作的路径来获取这些详细信息,如下所示:
下一个屏幕提供了对上述查询进行的优化的详细信息。在这里,我们需要注意事件的数量和返回结果所花费的时间。
关闭优化
我们还可以关闭内置优化并注意搜索结果所用时间的差异。结果可能会也可能不会比内置搜索更好。如果更好,我们可能总是选择关闭仅针对此特定搜索的优化的选项。
在下图中,我们在搜索查询中使用显示为 noop 的无优化命令。
下一个屏幕为我们提供了未使用优化的结果。对于此给定查询,无需使用内置优化即可更快获得结果。
下一章:Splunk 转换命令
这些是 Splunk 中的命令,用于将搜索结果转换为此类数据结构,这将有助于表示统计数据和数据可视化。 转换命令的例子以下是转换命令的一些示例:突出显示-突出显示结果中的特定术语。图表-根据搜索 ...