- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基础搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查询表
- Splunk - 计划和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基础图表
- Splunk - 叠加图表
- Splunk - 微型图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 搜索优化
Splunk 已经包含了优化功能,分析并处理您的搜索以实现最大效率。这种效率主要通过以下两个优化目标实现:
早期过滤 - 这些优化会在早期过滤结果,以便在搜索过程中尽早减少处理的数据量。此早期过滤器避免对不属于最终搜索结果的事件进行不必要的查找和评估计算。
并行处理 - 内置优化可以重新排序搜索处理,以便在将搜索结果发送到搜索头进行最终处理之前,尽可能多地在索引器上并行运行命令。
分析搜索优化
Splunk 为我们提供了分析搜索优化如何工作的工具。这些工具帮助我们弄清楚如何使用过滤条件以及这些优化步骤的顺序。它还告诉我们搜索操作中各个步骤的成本。
示例
考虑一个搜索操作,查找包含以下单词的事件:fail、failed 或 password。当我们将此搜索查询放入搜索框时,内置优化器会自动执行操作以确定搜索路径。我们可以验证搜索返回特定数量的搜索结果所花费的时间,如果需要,可以继续检查优化的每个步骤以及与其相关的成本。
我们按照搜索 → 作业 → 检查作业的路径获取这些详细信息,如下所示:
下一个屏幕显示了上述查询发生的优化的详细信息。在这里,我们需要注意返回结果的事件数量和时间。
关闭优化
我们还可以关闭内置优化,并注意搜索结果所花费的时间差异。结果可能比内置搜索更好也可能更差。如果更好,我们总是可以选择仅针对此特定搜索关闭优化的选项。
在下图中,我们在搜索查询中使用表示为noop的“无优化”命令。
下一个屏幕显示了不使用优化所得到的结果。对于此给定查询,不使用内置优化,结果返回得更快。
广告