Splunk - Optimización de búsqueda

Splunk ya incluye las funciones de optimización, analiza y procesa sus búsquedas para lograr la máxima eficiencia. Esta eficiencia se logra principalmente a través de los siguientes dos objetivos de optimización:

  • Early Filtering- Estas optimizaciones filtran los resultados muy temprano para que la cantidad de datos que se procesan se reduzca lo antes posible durante el proceso de búsqueda. Este filtro temprano evita búsquedas innecesarias y cálculos de evaluación para eventos que no forman parte de los resultados de búsqueda finales.

  • Parallel Processing - Las optimizaciones integradas pueden reordenar el procesamiento de búsqueda, de modo que se ejecuten tantos comandos como sea posible en paralelo en los indexadores antes de enviar los resultados de la búsqueda al cabezal de búsqueda para su procesamiento final.

Analizar las optimizaciones de búsqueda

Splunk nos ha proporcionado herramientas para analizar cómo funciona la optimización de búsqueda. Estas herramientas nos ayudan a descubrir cómo se utilizan las condiciones del filtro y cuál es la secuencia de estos pasos de optimización. También nos da el costo de los distintos pasos involucrados en las operaciones de búsqueda.

Ejemplo

Considere una operación de búsqueda para encontrar los eventos que contienen las palabras: falla, falla o contraseña. Cuando colocamos esta consulta de búsqueda en el cuadro de búsqueda, los optimizadores integrados actúan automáticamente para decidir la ruta de la búsqueda. Podemos verificar cuánto tiempo tardó la búsqueda en devolver un número específico de resultados de búsqueda y, si es necesario, podemos verificar todos y cada uno de los pasos de la optimización junto con el costo asociado.

Seguimos el camino de Search → Job → Inspect Job para obtener estos detalles como se muestra a continuación:

La siguiente pantalla brinda detalles de la optimización que se ha producido para la consulta anterior. Aquí, debemos anotar el número de eventos y el tiempo necesario para devolver el resultado.

Desactivar la optimización

También podemos desactivar la optimización incorporada y notar la diferencia en el tiempo necesario para el resultado de la búsqueda. El resultado puede o no ser mejor que la búsqueda incorporada. En caso de que sea mejor, siempre podemos elegir esta opción de desactivar la optimización solo para esta búsqueda específica.

En el siguiente diagrama, usamos el comando Sin optimización presentado como noop en la consulta de búsqueda.

La siguiente pantalla nos da el resultado de no usar optimización. Para esta consulta determinada, los resultados son más rápidos sin utilizar optimizaciones integradas.