検索の最適化について
検索最適化ツールは検索プロセスを高速化し、クエリ結果を短時間で表示すると同時に、フォレンジック分析およびログ管理の生産性を高めます。
検索速度は通常、データ量およびデータに対して実行するクエリのタイプによって変わります。検索最適化ツールはデータをセグメント化し、キューに登録してすばやく結果を表示できるようにします。
データの適切なサブセットであるインデックスが検索最適化の中心となります。インデックスに対して検索を実行すると、検索の対象となるデータ セットが小規模で済むため、検索結果がよりすばやく効率的に返されます。
Sumo Logic では、インデックス ベースとフィールド ベースでの検索の最適化をサポートしています。
フィールド ベースの方法
フィールド抽出は、フィールドをパースして、インデックスへと導きます。
フィールド ブラウザでは、選択したフィールドをパースすることなく表示または非表示できるため、関心のあるフィールドのみに検索の焦点を絞ることができます。
検索最適化プロセス
データが Sumo Logic に供給されると、検索の最適化が以下の順序で実行されます。
- フィールド抽出ルールが適用されます。
- パーティションとスケジュール済みビューが適用されます。パーティションとスケジュール済みビューの両方が定義されている場合は、パーティションが先に定義されます。
- データのインデックスが作成されます。
- 最適化され、インデックスが作成されたデータが、他の Sumo Logic 機能で使用できるようになります。
インデックスを過剰に作成してしまうケース
はい。インデックスが過剰に使用されることで、逆に検索プロセスを遅くしてしまう場合があります。組織のインデックスを設計する場合は、どのツールでも、インデックスを作成するのに意味があるデータの最小量を検討してください。非インデックス化データに対して検索を実行する場合でも、Sumo Logic はすべてのインデックス化データも処理するため、時間が長くかかります。
パーティションとスケジュール済みビューの違い
パーティションは、パーティションの開始日付から被集計インデックスの構築を開始し、それ以降のデータのみをインデックス化します。
スケジュール済みビューは、埋め戻しを行います。そのため、スケジュール済みビューの開始日付まで遡って、すべてのデータに対してクエリを実行できます。
適切なインデックス化検索最適化ツールの選択
適切なインデックス化検索最適化ツールの選択方法を下表にまとめます。
| したいこと | パーティション | スケジュール済みビュー |
| 特定のデータの集合に対するクエリの実行 | インデックス化するデータが全データの 2% を超えている場合に選択してください。 | インデックス化するデータが全データの 2% 以下である場合に選択してください。 |
| データを使用した長期的な傾向の特定 | はい | |
| sourceCategory によるデータの分離 | はい | |
| クエリに対応可能な集計データの準備 | はい | |
| RBAC を使用した、データ セットへのアクセス権の拒否または付与 | はい | はい |
| 他の検索でパースしているフィールドの同じ sourceCategory への再利用 |
データがパーティションやスケジュール済みビューに追加される仕組み
データが Sumo Logic に供給されると、まずパーティションに導かれてインデックス化されます。スケジュール済みビューと比較してチェックされ、スケジュール済みビューと一致するデータがインデックス化されます。
パーティションとスケジュール済みビューは目的が異なるため、同じデータが両方に存在する (そして別々にインデックス化される) ことも可能です。パーティションは先にインデックス化されますが、スケジュール済みビューのインデックス化を遅くすることはありません。