A keresések végrehajtásához a Splunk saját nyelvet, az SPL-t (Search Processing Language) használja. Az SPL parancsok több típusba sorolhatók az általuk végzett feldolgozástól függően. Különösen egy olyan elosztott környezetben, ahol a Splunk rendszer több szerverből áll, az SPL típusától függően más-más modulok végeznek nagyobb munkát, sajnos könnyű nem optimalizált kereséseket létrehozni. A cikk elmagyarázza az egyes SPL típusokat, és megmutatja, hogyan lehet hatékony sorrendben futtatni a kereséseket. Megmutatja a cikk azt is, hogyan használhatja a Search Job Inspector nevű beépített GUI tool-t.
Az SPL query típusok nagyjából két részre oszthatók:
- Streaming (alesetek: Distributable Streaming, Centralized Streaming)
- Non-Streaming (alesetek: Transforming, Generating, Orchestrating, Dataset processing)
Összefoglalva a keresések hatékonyabbá tételének fontos pontjait, ha van Distributed Streaming parancs, akkor azt lehetőleg az SPL elején hajtsa végre, és használja ki a párhuzamos feldolgozhatóságot az Indexer oldalán. Ezen kívül használja Search Job Inspector-t, mely mutatja a feladat végrehajtásának állapotát.
Részletek: