728x90
a)
index=main sourcetype=access_combined_wcookie
| stats count by clientip
| rename clientip as sourceIp
| table sourceIp, count
b)
index=main sourcetype=access_combined_wcookie
| rename clientip as sourceIp
| stats count by sourceIp
| table sourceIp, count
스플렁크 블로그를 보다가 알게됨
명령어 순서만 다를 뿐인데 b가 a보다 더 빠름
rename이 분산형이라 그렇다
명령어의 스트리밍 유형에 따른 차이
- 스트리밍
- 분산 : 인덱서에서 동작 (ex. rename)
- 중앙 : 검색헤더에서 동작 (ex. head)
- 비스트리밍 : 검색헤더에서 동작 (ex. sort)
- 스트리밍 분산형 먼저 처리 후 사용하는 것이 효율적 (이벤트가 매우 많은 경우)
- 비유 : 놀이터에서 친구들이 각자 구역을 맡아서 먼저 쓰레기를 주워오면, 나중에 한 사람이 중앙에서 그 쓰레기를 모아서 정리하는 것이 훨씬 빠르고 효율적이에요. 만약 처음부터 한 사람이 모든 쓰레기를 모으려고 하면 시간이 훨씬 더 오래 걸리겠죠. 이렇게 각자 먼저 할 일을 나눠서 처리한 후에 마지막에 정리하는 것이 더 빠르고 효율적이니까, 스트리밍 분산형 작업을 먼저 처리하는 것이 좋은 거예요. (gpt 도움)
---
참고
728x90
'Splunk' 카테고리의 다른 글
| stats vs sistats vs tstats vs mstats vs eventstats vs streamstats (0) | 2025.01.10 |
|---|---|
| [splunk] 리텐션 - 월별 코호트 (0) | 2024.08.21 |
| 스플렁크 30일 간격 리스트 만들기 (makeresults) (0) | 2024.07.22 |
| 스플렁크로 리텐션 구하기 (0) | 2024.02.14 |
| 스플렁크에서 nps 계산하는 쿼리 (0) | 2024.01.25 |