Oracle Cloud Infrastructure-Dokumentation

Zeitreihendiagramm

Sie können das Zeitreihendiagramm generieren, indem Sie den Befehl timestats oder timecluster ausführen.

Themen:

Die folgenden Diagrammoptionen stehen zur Verfügung, um Ihre Ansicht der Zeitreihenanalyse anzupassen:

Histogrammoption Versorgungsunternehmen

Diagrammtyp

Wählen Sie einen der folgenden Visualisierungstypen aus, um die Gruppendaten anzuzeigen:

  • Linie mit Marker: Die Größe der Logdatensätze für die angegebene Zeit wird mit einer Linie für den Marker der Größe dargestellt.

  • Linie ohne Marker: Die Größe der Logdatensätze für die angegebene Zeit wird mit einer Linie für die Zahl der Größe dargestellt.

  • Linien/Flächen: Dieses Diagramm entspricht einem Liniendiagramm, die Fläche zwischen der Linie und der Achse wird jedoch farbig abgedeckt. Der farbige Bereich stellt das Datenvolumen dar.

  • Banding mit Bereich: Dies ähnelt Line-to-Face. Der Bereich zwischen dem dargestellten Wert und der X-Achse ist farbig und erscheint als durchgehendes Band entlang der X-Achse.

  • Nur Marker: Die Größe der Logdatensätze für die jeweilige Zeit wird durch einen Marker dargestellt.

  • Balken: Die Logdatensätze werden als segmentierte Spalten für den Zeitraum angezeigt. Das ist das Standardanzeigediagramm.

  • Heat Map: In diesem Diagramm werden die höheren Werte in intensiveren Farben angezeigt.

Diagramme gruppieren

Keine: Generiert ein separates Diagramm für jede Zeitreihenfunktion.

Alle: Gruppiert die Diagramme für jede Zeitreihenfunktion in einem Diagramm.

Gestapelt anzeigen

Diese Option zeigt die einzelnen gestapelten Diagramme an, mit denen die Werte relativ oder absolut im Zeitverlauf verglichen werden können.

Korrelierte QuickInfos anzeigen

Wenn Sie mehrere Diagramme anzeigen, können Sie das Kontrollkästchen Korrelierte QuickInfos anzeigen deaktivieren, um jeweils nur eine QuickInfo anzuzeigen.

Legende anzeigen

Anzeige der Legenden umschalten.

Y-Achse ausblenden

Sie können die Anzeige der Variablen ausblenden, mit der die Y-Achse zur besseren Visualisierung dargestellt wird.

Höhe und Breite

Sie können die Höhe und Breite des Diagramms ändern, um die Visualisierung zu optimieren und mehrere Diagramme in einer Zeile anzuzeigen.

Farben im Zeitreihendiagramm ändern

Um das Heatmap-Farbschema zu ändern, klicken Sie im Menü Menü "Einstellungen" Einstellungen neben dem Titel des Zeitreihendiagramms auf Farbpalette. Sie können auch auf den Link Farbe neben dem Diagramm und dem Feldnamen klicken. Wählen Sie die Farben in der Farbpalette aus.


Heatmap-Farbschema ändern

Das Heatmap-Diagramm ändert die Farben in die ausgewählte Palette:


Heat Map in neuen Farben

Im obigen Diagramm können Sie feststellen, dass die höheren Werte mit der höheren Intensität der Farben leicht zu identifizieren sind.

Zeitreihenfilter verwenden und anpassen

Rufen Sie das Dialogfeld Filteroptionen im Menü Menü "Einstellungen" Einstellungen neben dem Titel Ihres Zeitreihendiagramms auf.

Themen:

Filter aktivieren

Das Dialogfeld "Filteroptionen" zeigt die Liste der Felder an, die im Timestat-Diagramm verwendet werden. Aktivieren Sie das Kontrollkästchen Suchfilter anzeigen. Sie können ein oder mehrere Felder auswählen, die im Filterbereich angezeigt werden sollen. Beispiel: Betrachten Sie die folgende Suche: 

*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Entity Type'
| timestats name = 'Entity Types'
            sum(Count) as 'Number of Logs',
            sum('Raw Size (bytes)') as 'Log Size'
        by 'Entity Type'

Im Dialogfeld "Filteroptionen" werden jetzt die folgenden vom Befehl timestats generierten Felder und die in der by-Klausel verwendeten Felder angezeigt: Entitytyp, Anzahl Logs, Loggröße.

Im Feldbereich können Sie einen oder mehrere Filter auswählen, um nur diese spezifischen Datenpunkte anzuzeigen. Sie können den Filter zurücksetzen, indem Sie die Option Alle auswählen umschalten.


Zeitreihendiagramm mit Feldfiltern

Nachdem der Filter für ein bestimmtes Feld aktiviert wurde, klicken Sie auf das Symbol Menü "Einstellungen" Einstellungen neben dem Feldnamen, um die vollständige Werteliste für ein Feld Zeichenfolge anzuzeigen.

Filter anpassen

Rufen Sie das Dialogfeld Filter anpassen im Menü Menü "Einstellungen" Einstellungen neben dem Titel Ihres Zeitreihendiagramms auf.

Bei numerischen Feldern können Sie den Filter auch anpassen, indem Sie auf das Symbol Menü "Einstellungen" Einstellungen neben dem numerischen Feldnamen klicken. Das Dialogfeld Filter anpassen wird geöffnet. Die folgenden Optionen für das Berechnungsverfahren für Bereich sind verfügbar:

  • Standard: Standardmäßig wird der Bereich auf ein Fünftel des Höchstwerts festgelegt und dann auf 2s, 3s, 4s, 5s oder 10s gerundet. Beispiel: Wenn der Höchstwert 48 ist, wäre der Bereich 10. Then the buckets would be calculated as Below 0, Up to 9, 10 - 19, 20 - 29, 30 - 39, 40 - 49, Above 50.

  • Logarithmisch: Um logarithmische Bereiche wie 1 - 10, 10 - 100 und 1000 - 10000 zu verwenden, ändern Sie die Bereichsberechnungsmethode in logarithmisch.

  • Benutzerdefiniert: Für bestimmte Datasets sind Variablenbereiche erforderlich. Beispiel: Die Anforderung, den CPU-Durchschnitt für die Unterauslastung als 0 - 30%, 30 - 80% als effektive Auslastung, 80 - 95% als Warnung und alles, was über 95% liegt, ist extrem. Um Variablenbereiche dafür zu konfigurieren, können Sie durch Komma getrennte Werte 30,80,95 angeben. Dadurch werden die Buckets 0-30, 30-80, 80-95, 95+ erstellt.

Sie können optional das Kontrollkästchen Bucket-Werte <= 0 Separat aktivieren, um einen separaten Bucket für die Feldwerte kleiner/gleich Null zu erstellen.

Im Filter suchen

Rufen Sie das Dialogfeld Filter anpassen im Menü Menü "Einstellungen" Einstellungen neben dem Titel Ihres Zeitreihendiagramms auf.

Für die Felder Zeichenfolge können Sie den Text für die Suche eingeben. Sie können auch reguläre Ausdrücke für die Suche angeben. Beispiel: Wenn Sie nach e$ suchen, werden alle Feldwerte angezeigt, die mit dem Buchstaben e enden.

Aktivieren Sie die Option Invertieren, um nur die Werte anzuzeigen, die nicht mit den Kriterien übereinstimmen.

timestats-Befehl zum Darstellen einer Zeitreihe verwenden

Der Befehl timestats, der nach dem Befehl link verwendet wird, bietet zusätzliche Zeitreihenanalysen und umfassende Visualisierung.

Themen:

Im folgenden Beispiel mit OCI Integration Activity Stream Logs wird der Time Taken Trend anhand der Felder Action und Integration dargestellt: 

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timestats name = 'Time Taken Trend' avg('Duration (ms)') as 'Time Taken' by Integration, Action

Der Time Taken Trend wird anhand der Felder Action und Integration dargestellt.

Sie können den Mauszeiger über einen beliebigen Datenpunkt bewegen, um die Top-Werte für diesen Zeitraum abzurufen.


Bewegen Sie den Mauszeiger auf den Datenpunkt, um die Top-Werte für diesen Zeitraum abzurufen

Einzelheiten zum Befehl timestats und einen ausführlichen Anwendungsfall für das Plotten von Zeitreihen mit dem Befehl finden Sie unter timestats und Time Series Analysis Using timestats Command.

Syntax der Verknüpfungszeitpläne

Im Anwendungsfall Zeitreihenanalyse mit dem Befehl timestats für detaillierte Zeitreihen wird die folgende Abfrage verwendet: 

'Log Source' = 'OCI VCN Flow Unified Schema Logs' 
| link span=1day Time, Action
| timestats name="Trend of Action" sum(Count) as Records by Action

Teile des Befehls timestats im obigen Beispiel sehen wie folgt aus:


Teile des Befehls timestats im obigen Beispiel

Die folgenden Parameter können in der Befehlssyntax verwendet werden:

Parameter Beschreibung
name Der optionale Titel für das Diagramm. Wenn dies nicht angegeben ist, wird der Name der Y-Achse verwendet.
span=<interval> Ein optionales Intervall wie 10min oder 1hour. Die Werte werden mit der angegebenen Funktion in diesem Intervall zusammengefasst. Standardmäßig wird der Span verwendet, der für den Befehl link angegeben wurde. Das Diagramm wird nicht korrekt ausgerichtet, wenn für die Befehle link und timestats unterschiedliche Spans angegeben sind.
field Name eines Zeitstempelfelds für die X-Achse. Dies ist ein fakultatives Feld. Der Standardwert ist das Feld Start Time.
<function> Name der Funktion. You can use the functions that are associated with the stats command with the timestats command too. Einzelheiten zu den Funktionen und Beispiele für die Verwendung der Funktionen mit dem Befehl finden Sie unter stats.

Trennen Sie mehrere Funktionen durch Komma. Beispiel:

*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Log Source'
| timestats avg('Raw Size (bytes)') as Size,
            sum(Count) as Records
         by 'Log Source'

Jede Funktion erstellt ein neues Diagramm. Sie können die Korrelationsoption in der UI verwenden, um die Diagramme visuell zu korrelieren.
as <alias> Geben Sie einen optionalen Alias für jede Zeitreihe an.
by <field> Die Funktion wird für jeden eindeutigen Wert des angegebenen Feldes berechnet. Sie können mehrere Felder angeben.

Alle by-clause-Werte für eine bestimmte Funktion werden im selben Diagramm dargestellt. Es gibt mehrere Diagramme, wenn Sie mehr als eine Funktion in Ihrem Befehl timestats haben.

Hinweis: Die Anzahl der Gruppierungsfelder ist auf 4 begrenzt.

Verwenden der Felder in den Verknüpfungszeiträumen

Es gibt zwei Typen von Feldern, die für eine Timestats-Funktion verwendet werden können:

  • Eigenschaftsfeld: Jedes Feld, das im Befehl link verwendet oder mit den Befehlen stats, eventstats, eval, lookup, nlp oder delta nach link erstellt wird.

  • Feld für Logdatensatz: Ein Feld, das in der Logquelle definiert ist und im Logdatensatz vorhanden ist. Sie können sich direkt über eine Timestats-Funktion auf solche Felder beziehen.

In einer Klausel sind nur Eigenschaftsfelder zulässig. Große Felder wie Meldung, Ursprünglicher Inhalt, Fehlerstack sind in einer Funktion oder in einer Beispielausgabe nicht zulässig.

Teil von Logs Charting: Verwenden Sie den Befehl addfields, um Diagramme für eine bestimmte Teilmenge von Daten zu generieren. Die in addfields verwendeten Felder müssen ein Eigenschaftsfeld sein. Das folgende Beispiel veranschaulicht die Verwendung von addfields: 

*
| link Time, 'Log Source'
| addfields 
   [ * | where 'Log Source' in ('Linux Audit Logs', 
                                'Linux Secure Logs', 
                                'Linux Syslog Logs', 
                                'Linux Cron Logs') 
       | timestats name = 'Linux Logs' sum(Count) as Records by 'Log Source' 
   ],    [ * | where 'Log Source' not in ('Linux Audit Logs', 
                                          'Linux Secure Logs', 
                                          'Linux Syslog Logs', 
                                          'Linux Cron Logs') 
             | timestats name = 'Non Linux Logs' sum(Count) as Records by 'Log Source' 
   ]

Anzahl der zurückzugebenden Diagramme angeben: Geben Sie mit den Parametern topcount oder bottomcount die Anzahl der Diagramme an, die an die UI zurückgegeben werden sollen.

  • topcount: Bei der Gruppierung nach Feldern wird die Anzahl N eindeutiger Gruppen mit den größten aggregierten Werten zurückgegeben.
  • bottomcount: Bei der Gruppierung nach Feldern wird die Anzahl N eindeutiger Gruppen mit den kleinsten aggregierten Werten zurückgegeben.

Beispiel: 

*
| link Time, 'Log Source'
| timestats topcount = 3 name = 'Top 3 Log Sources by Count'
            sum(Count) as 'Log Records'
        by 'Log Source'
| addfields
     [ * | where 'Log Source' in ('Linux Audit Logs', 'Linux Secure Logs', 'Linux Syslog Logs', 'Linux Cron Logs')
         | timestats bottomcount = 3 name = 'Bottom 3 Linux Logs'
                     sum(Count) as Records
                   by 'Log Source' ]

Die folgenden Diagramme werden als Ergebnis der Ausführung der obigen Abfrage generiert:


Topcount- oder Bottomcount-Parameter verwenden, um die Anzahl der Diagramme anzugeben

Limits für Zeitreihen

  • Anzahl der Felder in der by-Klausel: In der Klausel sind nur bis zu vier Felder zulässig.

  • Zulässige Felder: Verhindern Sie, dass große Felder in der Funktion und in der by-Klausel verwendet werden. Beispiele für große Felder sind die Felder Meldung, Ergänzende Details, Fehlerstack und Ursprünglicher Loginhalt.

  • Nullwerte: Zeitwerte ausrichten die Werte in der Linktabelle mit den Werten in der Spalte Startzeit. Beispiel: Ein Feld Dauer darf nur Werte für 10:06 Uhr, 10:10 Uhr und 1:12 Uhr enthalten. Im Rahmen des Befehls alignment gleicht ein timestats avg(Duration)-Befehl die Werte von 10:06 AM und 10:10 AM in einem einzigen Durchschnitt für 10:00 Uhr aus. Da keine Werte für 11 Uhr und 12 Uhr vorhanden sind, werden sie mit Nullen gefüllt. Der Wert 1:12pm wird im Intervall 1 PM platziert.

    Das tatsächliche Ausrichtungsintervall hängt vom Intervall ab, das für die Abfrage verwendet wird. Mit dem Parameter span kann ein Intervall explizit angegeben werden.

  • Anzahl Zeitreihenwerte: Es werden nur 100 Reihen pro Timestats-Befehl zurückgegeben. Hier sind einige Beispiele, die dieses Limit veranschaulichen:

    • Der Befehl timestats sum(Count) as Records by 'Log Source' gibt nur die Top 100 Logquellen zurück. Die Top 100 werden identifiziert, indem zuerst die Werte jeder Logquellen-Zeitreihe sortiert und dann diese Zeitreihen sortiert werden. Das heißt, wenn Datensätze für eine Logquelle nur Nullen und eine einzelne große Spitze enthält, wird diese in die zurückgegebenen Ergebnisse aufgenommen.
    • Der Befehl timestats sum(Count) as Records by 'Log Source', Label gibt die Top 100 unique-Kombinationen von Log Source und Label zurück.

    Wenn Teilergebnisse zurückgegeben werden, gibt ein Info-Symbol neben der Zeitreihe die Gesamtanzahl der generierten Serien an.

    Im Folgenden finden Sie einige Optionen für die Verarbeitung einer großen Anzahl von Zeitreihenwerten:

    • Verwenden Sie den Befehl addfields, um die spezifischen Werte zu filtern, die in Timestats verwendet werden sollen.
    • Verwenden Sie topcount oder bottomcount, um die Top 100- oder Bottom 100-Diagramme zurückzugeben.
    • Verwenden Sie den Befehl timecluster, um die Zeitreihe zu clustern. Dadurch wird die Anzahl der Diagramme reduziert, da nur repräsentative Muster zurückgegeben werden.

Konfigurationsoptionen für Zeitreihendiagramme

Ähnlich wie bei den Histogrammdiagrammen stehen Ihnen die folgenden Optionen zur Verfügung, mit denen Sie die Diagramme untersuchen können. Klicken Sie auf das Symbol "Diagrammoptionen" Symbol für Diagrammoptionen:

  • Diagramme ausblenden/anzeigen: Sie können ein Diagramm ein- oder ausblenden.

  • Diagrammtyp auswählen: Sie können verschiedene Diagrammtypen auswählen.

  • Höhe und Breite des Diagramms anpassen: Mit der Option "Höhe" können Sie die Höhe des Diagramms erhöhen. Ziehen Sie das Steuerelement "Breite", um die Breite der Diagramme zu erhöhen oder zu verringern. Wenn mehrere Funktionen vorhanden sind, würde eine Verringerung der Breite dazu führen, dass mehr Diagramme in derselben Zeile angezeigt werden. Bei voller Breite werden alle Diagramme in einzelnen Zeilen angezeigt. Wenn Sie die Breite verringern, werden die Diagramme in mehrspaltiger Reihenfolge angeordnet.

  • Korrelieren über Diagramme hinweg: Mit der Diagrammoption Korrelierte QuickInfos anzeigen können Sie korrelierte QuickInfos über Diagramme hinweg anzeigen.

Darüber hinaus können Sie Ihre Diagramme mit den folgenden Optionen konfigurieren:

  • Legendensteuerung: Sie können die Legenden mit der Option Legende anzeigen in den Diagrammoptionen ein- oder ausschalten.

  • Diagrammfilter: Sie können die Zeitreihen mit den Filtern interaktiv analysieren. Aktivieren Sie die Filter, indem Sie auf Diagrammoptionen, Filter und Suchfilter anzeigen klicken. Die Filteroptionen zeigen die Liste der Felder an, die im Timestat-Diagramm verwendet werden. Sie können ein oder mehrere Felder auswählen, die im Bereich "Filter" angezeigt werden sollen. Nachdem Sie die Filteroptionen ausgewählt haben, werden die vom Befehl "timestats" generierten Felder sowie die Felder, die in der by-Klausel verwendet werden, über dem Diagramm angezeigt.

    Wählen Sie mindestens einen Filter aus, um nur diese spezifischen Datenpunkte anzuzeigen. Sie können die Filterauswahl zurücksetzen, indem Sie die Option Alle auswählen umschalten.

  • Filter suchen und anpassen: Klicken Sie neben einem Filternamen auf das Symbol "Optionen" Symbol für Diagrammoptionen, um die vollständige Werteliste für diesen Filter anzuzeigen. Sie können den Suchtext eingeben. Sie können auch reguläre Ausdrücke für die Suche angeben. Beispiel: Wenn Sie nach e$ suchen, werden alle Ergebnisse angezeigt, die mit dem Buchstaben e enden.

    Aktivieren Sie die Option Invertieren, um nur die Werte anzuzeigen, die nicht mit den Kriterien übereinstimmen.

  • Farben auswählen: Sie können die Farbe für jede Zeitreihe konfigurieren.

    Beachten Sie die folgende Abfrage, die den Trend jeder Status in den OCI-Auditlogs anzeigt: 

    Status != null and 'Log Source' = 'OCI Audit Logs'
| link Time, Status
| timestats sum(Count) as 'Number of Hits' by Status

    Das Diagramm zeigt die Statuswerte und deren Standardfarbe an. Die Werte im Feld "Status" sind 200, 201, 404, 409, 204 und 400.


    Statuswerte und ihre Standardfarbe

    Aktivieren Sie die Filter mit den Diagrammoptionen, um die Farboption neben dem Diagramm anzuzeigen.


    Farboption neben dem Diagramm

    Klicken Sie auf den Link Farbe, wählen Sie das Feld Status, und wählen Sie eine Palette aus, die so viele Farben wie die zu konfigurierenden Werte hat.


    eine Palette auswählen, die so viele Farben wie die zu konfigurierenden Werte hat

    Aktualisieren Sie jeden Farbausdruck mit dem Wert oder einem regulären Ausdruck, den Sie abgleichen möchten.


    Aktualisieren Sie jeden Farbausdruck mit dem Wert oder einem regulären Ausdruck, den Sie abgleichen möchten

    Sie können diesen Vorgang für jedes Feld in der Dropdown-Liste "Farbe" wiederholen, um die Farben zu konfigurieren.

timecluster-Befehl zum Darstellen einer Zeitreihe verwenden

Sie können ähnliche Zeitreihenwerte mit dem Befehl timecluster nach dem Befehl link gruppieren. Clustering ist nützlich, wenn eine große Anzahl von Zeitreihen analysiert werden muss oder Sie verschiedene Verhaltensweisen in Ihren Zeitreihenwerten identifizieren möchten.

Themen:

Im folgenden Beispiel wird timecluster nach link verwendet, um repräsentative Beispiele von OCI Integration Activity Stream Logs abzurufen. Sie können die Maus auf einen beliebigen Datenpunkt bewegen, um zusätzliche Details zum Cluster abzurufen: 

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timecluster name = 'Similar Integrations' avg('Duration (ms)') as 'Time Taken' by Integration, Action

Zeitreihendarstellung von OCI-Integrationsaktivitätsstreamlogs

Einzelne Cluster mit Filtern anzeigen: Klicken Sie auf Diagrammoptionen, und klicken Sie auf Filter, um die Filter zu aktivieren und anzuzeigen. Wählen Sie die einzelnen Cluster-IDs aus, um die Details für dieses Cluster anzuzeigen.

Funktionsweise von Link timecluster

Clustering betrachtet jede Zeitreihe mit ähnlicher Ausprägung und ähnlichen Werten. Im Folgenden sind einige der Eigenschaften aufgeführt, mit denen die Zeitreihen geclustert werden:

  • Gipfel und Täler in der Zeitreihe: Zeitreihen mit ähnlichen Gipfeln und Tälern werden in der Regel gemeinsam gruppiert.

  • Werte an jedem Punkt: Selbst wenn zwei Zeitreihen ähnliche Spitzen aufweisen, können sie immer noch in verschiedene Cluster fallen, wenn die Werte weit voneinander entfernt sind.

Jedes Cluster erhält die folgenden Eigenschaften, die in der Konsole angezeigt werden:

Eigenschaft Beschreibung
Cluster-ID Eine eindeutige ID für das Cluster
Clustermitglieder Anzahl Zeitreihen in diesem Cluster
Mindestwert Niedrigster Wert für dieses Cluster für das ausgewählte Intervall
Höchstwert Höchster Wert für dieses Cluster für das ausgewählte Intervall
Wert Wert der angegebenen stats-Funktion für dieses Cluster für das ausgewählte Intervall
Prozentsatz Prozentsatz der Gruppen, die durch die Anzahl der Mitglieder in diesem Cluster dargestellt werden
Clusterbeispiele Nur wenige Beispiele des Clusters.

Hinweis: Es können mehr Werte als die im Beispiel angezeigten Werte vorhanden sein, da es sich nur um Beispiele handelt, die ein ähnliches Verhalten aufweisen.

timecluster hat eine ähnliche Syntax und Optionen wie der timestats-Befehl. Informationen zur Syntax und zu den Konfigurationsoptionen für Zeitreihendiagramme finden Sie unter Verknüpfungstimestatsyntax und Konfigurationsoptionen für Zeitreihendiagramme.

Ein Beispiel für einen Anwendungsfall zum Plotten einer Zeitreihe mit timecluster finden Sie unter Zeitreihenclustering.