[Splunk] SPL 검색(2) – tstats 쉽게 이해하기
tstats: 미리 인덱싱된 메타데이터( .tsidx인덱서의 버킷에 있는 파일. 일반 인덱스 데이터, data model 가속화 데이터, tscollect 데이터)에서만 검색한다. 그러므로 매우 빠르게 검색할 수 있다.
[Splunk] SPL 검색(1) – 방식과 모드
Splunk SPL(Search Processing Language) 검색 방식 – Streaming / Transforming Streaming: index 에 부하를 줌, search eval streamstats 등 Transforming: Search Header 에 부하를 줌, chart, sort, stats 등 SPL 문을 Streaming(1)-Transforming-Streaming(2) 로 작성하는 경우: index 진행 후 S/H 에서 진행되는 검색은 다시 index 로 되돌아가지 않고 S/H에서 진행됨. (부하 많음) 그러므로, Streaming을 검색어 초기에 모두 배치하는 것이 좋음. 검색 … Read more