Splunk - Search Time operations sequence
Alasta 17 Novembre 2019 splunk splunk admin
Description : Voici le séquencement des opérations lors d'un Search.
Séquence des opérations pendant le Search-Time :
Knowledge Object : lexicographical processing :
Splunk procéde à un ordre lexicographique pour les knownlede object :
- Inline field extractions
- Field extractions that use a field transform
- Field aliases
- Event types (after they are sorted according to priority)
- Lookups
C'est un trie des éléments en fonction des valeurs utilisées pour les encoder (UTF-8) dans la RAM.
- Les symboles sont non standard et triés avant les valeur numériques.
- Les nombres sont triés avant les lettres, en se référent au premier digit : 10, 100, 70, 9.
- Les lettres majuscules sont triés les minuscules.
Cet ordre lexicographique s'applique aussi à la precedence.
Exemple :
REPORT-BBB sera évalué avant REPORT-ZZZ qui sera lui même évalué avant REPORT-aaa.