Splunk已经包含优化功能，可以分析和处理您的搜索以实现最大效率。主要通过以下两个优化目标来实现此效率-

• 早期过滤-这些优化非常早地过滤了结果，以便在搜索过程中尽早减少要处理的数据量。此早期过滤器可避免对不属于最终搜索结果的事件进行不必要的查找和评估计算。

• 并行处理-内置的优化功能可以对搜索处理进行重新排序，以便在将搜索结果发送到搜索头进行最终处理之前，在索引器上并行运行尽可能多的命令。

分析搜索优化

Splunk提供了一些工具来分析搜索优化的工作原理。这些工具可帮助我们弄清楚如何使用过滤条件以及这些优化步骤的顺序。它还为我们提供了搜索操作中涉及的各个步骤的成本。

例

考虑进行搜索操作以查找包含以下单词的事件：失败，失败或密码。当我们将此搜索查询放入搜索框中时，内置的优化器会自动采取行动来确定搜索路径。我们可以验证搜索返回特定数量的搜索结果所花费的时间，如果需要，可以继续检查优化的每个步骤以及与之相关的成本。

我们按照搜索→作业→检查作业的路径获取这些详细信息，如下所示-

下一个屏幕提供了上述查询已进行的优化的详细信息。在这里，我们需要记下事件数和返回结果所花费的时间。

关闭优化

我们还可以关闭内置优化，并注意搜索结果所花费的时间。结果可能比也可能不比内置搜索好。如果情况更好，我们可以始终选择仅针对特定搜索关闭优化的选项。

在下图中，我们使用在搜索查询中显示为noop的No Optimization命令。

下一个屏幕为我们提供了不使用优化的结果。对于此给定查询，无需使用内置优化即可更快地获得结果。