Splunk – Optimización de búsqueda

Splunk ya incluye funciones de optimización, analiza y procesa sus consultas para lograr la máxima eficiencia. Esta eficiencia se logra principalmente a través de los siguientes dos objetivos de optimización:

  • Filtración temprana “Estas optimizaciones filtran los resultados muy temprano para que la cantidad de datos a procesar se reduzca lo antes posible en el proceso de búsqueda. Este filtro temprano evita búsquedas innecesarias y cálculos de puntuación para eventos que no forman parte de los resultados de la búsqueda final.

  • Procesamiento en paralelo – Los optimizadores incorporados pueden cambiar el orden del procesamiento de la búsqueda para que se ejecuten tantos comandos como sea posible en paralelo en los indexadores antes de enviar los resultados de la búsqueda al cabezal de búsqueda para su procesamiento final.

Análisis de optimización de motores de búsqueda

Splunk nos proporcionó herramientas para analizar cómo funciona el SEO. Estas herramientas nos ayudan a comprender cómo se utilizan las condiciones de filtrado y cuál es la secuencia de estos pasos de optimización. También nos brinda información sobre el costo de los distintos pasos involucrados en las operaciones de búsqueda.

Ejemplo

Considere una operación de búsqueda para encontrar eventos que contengan las palabras Error, Error o Contraseña. Cuando colocamos este término de búsqueda en el cuadro de búsqueda, los optimizadores integrados determinarán automáticamente la ruta de búsqueda. Podemos comprobar cuánto tiempo ha tardado la búsqueda en devolver una determinada cantidad de resultados de búsqueda y, si es necesario, podemos seguir comprobando cada paso de optimización, así como los costes asociados.

Estamos caminando por el camino Buscar → Trabajo → Verificar vacante para obtener estos detalles como se muestra a continuación:

Optimización de búsqueda1

La siguiente pantalla proporciona detalles de la optimización realizada para la consulta anterior. Aquí debemos anotar el número de eventos y el tiempo que se tarda en devolver el resultado.

Optimización de búsqueda2

Deshabilitar la optimización

También podemos desactivar la optimización en línea y notar la diferencia en el tiempo dedicado al resultado de la búsqueda. El resultado puede ser mejor o no mejor que la búsqueda incorporada. En caso de que sea mejor, siempre podemos seleccionar esta opción para desactivar la optimización solo para esa búsqueda en particular.

En el diagrama a continuación, estamos usando el comando Sin optimización, representado como no en la consulta de búsqueda.

Optimización de búsqueda3

La siguiente pantalla nos da el resultado sin usar optimización. Para esta consulta, los resultados son más rápidos sin utilizar optimizaciones integradas.

Optimización de búsqueda4

En Este Curso

🚫