Kartenvisualisierung
Mit der Kartenvisualisierung in Oracle Log Analytics können Sie Logdatensätze gruppiert nach dem Speicherort anzeigen, von dem aus die Logs erfasst werden.
Weitere Themen:
- Wählen Sie im Log Explorer im Bereich Visualisieren die Option Zuordnen (
) aus.Zeigt eine Weltkarte an, in der Logdatensätze nach Clientkoordinaten, Clienthostkontinent, Clienthostland, Clienthostort und Clienthostregion gruppiert werden können.Das folgende Beispiel zeigt die Karte, in der die Logdatensätze von 1.195 Speicherorten erfasst werden:
Unter der Visualisierung gibt ein Warnsymbol zusammen mit der Spitze an, dass mehr Daten verfügbar sind als die angezeigten. Sie können die verfügbaren Daten filtern, indem Sie eines der Felder im Abschnitt Referenziert verwenden. Beispiel: Wenn Sie in den oben angezeigten Daten einen Filter anwenden, um die Logs nur vom Kontinent
Asiaanzuzeigen, wird die Abfrage entsprechend der Auswahl aktualisiert. To do this, click the Actions icon next to the Client Host Continent field in the Referenced section, click Filter, enable the check box forAsiain the Filter Client Host Continent dialog box, and click Apply. - Um die Visualisierung für Ihren Anwendungsfall anzupassen, klicken Sie auf das Symbol "Kartenoptionen"
: -
Farbkarte anzeigen: Standardmäßig ist die Farbkarte aktiviert. Sie können die Graustufen-Map anzeigen.
-
Legende anzeigen: Zeigt die Zusammenfassung der Logdatensatzgrößen und die Anzahl der Gruppen an.
-
Punktfarbe: Wählen Sie die Farbe des Punktes aus, der den Speicherort darstellt, von dem aus die Logdatensätze erfasst werden.
-
Punkte in der Nähe kombinieren: Wenn die Anzahl der Standorte viele ist und Sie die Anzahl der Punkte reduzieren möchten, können Sie nahe gelegene Punkte kombinieren, um die Ansicht zu vereinfachen.
-
Farbe für kombinierte Punkte: Wählen Sie die Farbe des Punktes aus, der die kombinierten Punkte darstellt.
-
Nach Zoom filtern: Wenn Sie diese Option aktivieren, wird eine neue Abfrage ausgeführt, die sich auf den mit rechteckigem Zoom ausgewählten Bereich konzentriert.
-
Mausrad aktivieren: Mit dem Mausrad im Visualisierungsbereich können Sie die Karte vergrößern oder verkleinern.
-
- Um Ihre Analyse auf einen bestimmten Bereich der Karte zu konzentrieren, klicken Sie auf das rechteckige Zoom-Symbol
, und wählen Sie den gewünschten Bereich aus. Dann passt sich die Karte automatisch an, um sich auf die Region zu konzentrieren. Wenn Sie die Option Nach Zoom filtern in den Kartenoptionen aktiviert haben, wird eine neue Abfrage ausgeführt, mit der die Logdatensätze im ausgewählten Bereich gefiltert werden.
Geolokation mit dem Befehl geostats angeben
Die Kartenvisualisierung verwendet die Geolokationskoordinaten, um aggregierte Ergebnisse auf einer Karte anzuzeigen. Diese Koordinaten werden während der Logaufnahme basierend auf einem IP-Adressfeld angereichert. Möglicherweise haben jedoch nicht alle IP-Adressen ein gültiges Koordinatenfeld. Sie können jetzt Ihre eigenen Koordinaten angeben, wenn die Standardanreicherung falsch ist oder die Informationen fehlen.
Verwenden Sie die Option include=custom für den Befehl geostats, um die Felder anzugeben, in denen die Geolokationsinformationen enthalten sind. Sie müssen die Koordinaten angeben. Optional können Sie auch den Ort, das Land und den Kontinent angeben. Anschließend müssen Sie das Feld "Koordinaten" in der by-Klausel verwenden.
Im Folgenden finden Sie ein Beispiel, das eine eval-Anweisung verwendet, um diese Werte anzugeben:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23',
'Source IP' = '129.146.13.236', '32.72,-96.68',
null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23', southfield,
'Source Coordinates' = '32.72,-96.68', dallas,
null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'
Geolokation mit einem Lookup angeben
Anstatt eine eval zu verwenden, können Sie einen einfachen Lookup oder einen Dictionary Lookup verwenden, um die Geolocation-Werte anzugeben. Im Folgenden finden Sie ein Beispiel für einen Dictionary Lookup:
Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",DallasAnschließend können Sie den Lookup in der Abfrage verwenden:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'Siehe Dictionary Lookup erstellen.
Benutzerdefinierte Farben in der Karte verwenden
In der Kartenvisualisierung können Sie benutzerdefinierte Farben verwenden, um verschiedene Werte eines Feldes zu identifizieren. Das Feld muss im Abschnitt Gruppieren nach der Einstellungen enthalten sein. Verwenden Sie den Befehl highlightgroups nach dem Befehl geostats in der Abfrage, um benutzerdefinierte Farben anzugeben.
Im folgenden Beispiel ist das Feld Aktion im Abschnitt Gruppieren nach enthalten. Daher wird der Befehl geostats mit dem Feld Aktion aktualisiert. Als Nächstes wird die Abfrage bearbeitet, um den Befehl highlightgroups mit der Farbspezifikation hinzuzufügen, sodass für bestimmte Werte von Aktion die entsprechenden Farben in der Karte angezeigt werden:
| Wert des Feldes Aktion | Angezeigte Farbe |
|---|---|
reject |
rot |
accept, allow, alert |
Grün |
drop |
Blau |
Beispielabfrage nach den oben genannten Änderungen:
'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -ActionBeispiel für eine Kartenvisualisierung beim Ausführen der obigen Abfrage:
