Splunkでのログ検索を早くする方法

Splunkでのログ検索の場合にログ量が多いと時間がかかってしまう場合があります。
以下はSplunkのクイックリファレンスに記載があるログ検索の最適化の方法です。

・検索の最適化
検索性能向上にはディスクから読み込むデータ量を必要最小限に抑え、その データに検索の極力早い段階でフィルタをかけ、必要最小限のデータを対象に処理することが重要である。
複数のデータタイプを跨ぐ検索は滅多に実施しない検索、例えば、ウェブデー タとファイヤーウォールデータはそれぞれ別なインデックスを設定するという ように、データタイプのインデックスに分けておく。

• できる限り具体的、限定的な検索にする（例：*error*ではなく、 fatal_error）
• 時間枠を必要な範囲に限定する（例：-1wではなく-1h）
• 検索のできるだけ早い段階で不用なフィールドはフィルタをかけ る。
• 計算前のできるだけ早い段階で検索結果にフィルタをかける。
• レポート出力する検索に関しては、タイムラインを計算するフラッ シュタイムライン表示ではなく、アドバンスチャート表示を使う。
• フラッシュタイムラインでは、自動フィールド検出を必要としない 場合にはそれをオフにしておく。
• サマリーインデックスを使って頻繁に使う値は事前に抽出して おく。
• ディスクI/Oは最速に設定する。