検索パフォーマンスの最適化
検索最適化ツールは検索プロセスを高速化し、クエリ結果を短時間で表示すると同時に、フォレンジック分析およびログ管理の生産性を高めます。
検索速度は通常、データ量およびデータに対して実行するクエリのタイプによって変わります。検索最適化ツールはデータをセグメント化し、キューに登録してすばやく結果を表示できるようにします。
データの適切なサブセットであるインデックスが検索最適化の中心となります。インデックスに対して検索を実行すると、検索の対象となるデータ セットが小規模で済むため、検索結果がよりすばやく効率的に返されます。
Sumo Logic では、インデックス ベースとフィールド ベースでの検索の最適化をサポートしています。
フィールド ベースの方法
フィールド抽出は、フィールドを parse して、インデックスへと導きます。
フィールド ブラウザでは、選択したフィールドを parse することなく表示または非表示できるため、関心のあるフィールドのみに検索の焦点を絞ることができます。
検索最適化プロセス
データが Sumo Logic に供給されると、検索の最適化が以下の順序で実行されます。
- FER (Field Extraction Rules) が適用されます。
- パーティションと Scheduled View が適用されます。パーティションと Scheduled View の両方が定義されている場合は、パーティションが先に定義されます。
- データのインデックスが作成されます。
- 最適化され、インデックスが作成されたデータが、他の Sumo Logic 機能で使用できるようになります。
インデックスを過剰に作成してしまうケース
はい。インデックスが過剰に使用されることで、逆に検索プロセスを遅くしてしまう場合があります。組織のインデックスを設計する場合は、どのツールでも、インデックスを作成するのに意味があるデータの最小量を検討してください。非インデックス化データに対して検索を実行する場合でも、Sumo Logic はすべてのインデックス化データも処理するため、時間が長くかかります。
パーティションと Scheduled View の違い
パーティションは、パーティションの開始日付から被集計インデックスの構築を開始し、それ以降のデータのみをインデックス化します。
Scheduled View は、埋め戻しを行います。そのため、Scheduled View の開始日付まで遡って、すべてのデータに対してクエリを実行できます。
適切なインデックス化検索最適化ツールの選択
適切なインデックス化検索最適化ツールの選択方法を下表にまとめます。
| したいこと | パーティション | Scheduled View |
| 特定のデータの集合に対するクエリの実行 | インデックス化するデータが全データの 2% を超えている場合に選択してください。 | インデックス化するデータが全データの 2% 以下である場合に選択してください。 |
| データを使用した長期的な傾向の特定 | はい | |
| sourceCategory によるデータの分離 | はい | |
| クエリに対応可能な集計データの準備 | はい | |
| RBAC を使用した、データ セットへのアクセス権の拒否または付与 | はい | はい |
| 他の検索で parse しているフィールドの同じ sourceCategory への再利用 |
データがパーティションや Scheduled View に追加される仕組み
データが Sumo Logic に供給されると、まずパーティションに導かれてインデックス化されます。Scheduled View と比較してチェックされ、Scheduled View と一致するデータがインデックス化されます。
パーティションと Scheduled View は目的が異なるため、同じデータが両方に存在する (そして別々にインデックス化される) ことも可能です。パーティションは先にインデックス化されますが、Scheduled View のインデックス化を遅くすることはありません。