Sie können die Funktionen "link" und "cluster" kombinieren, um Cluster für ein bestimmtes Feld zu klassifizieren. Sie können die Entitys oder Entitytypen mit den meisten potenziellen Problemen identifizieren und Muster oder Anomalien für diese Entitys anzeigen.

Mit Clustern können Sie ein großes Set aus Logdatensätzen analysieren und potenzielle Probleme identifizieren. Mit der Funktion Nach Cluster verknüpfen können Sie die Logdatensätze nach Clustern gruppieren und potenzielle Probleme basierend auf dem für die Analyse ausgewählten Feld identifizieren. Beispiel: Wenn Sie Cluster basierend auf Entity, Entitytyp oder Logquelle gruppieren möchten, können Sie "Nach Cluster verknüpfen" verwenden.

Im folgenden Beispiel werden die Logdatensätze des Entitytyps Host (Linux) mit Link- und Clusterfunktionen analysiert, indem * | link 'Entity Type', cluster() in die Abfrage aufgenommen wird. Die vollständige Abfrage für die Analyse:

* | link 'Entity Type', cluster() | where 'Potential Issue' != null | fields -'Potential Issue' | where Count = 45 and 'Entity Type' = literal("Host(Linux)"))

Zunächst wird der cluster-Befehl in der Suchzeichenfolge (in diesem Fall *) ausgeführt. Dadurch wird das Feld Clusterbeispiel erzeugt. Dieses Feld wird mit dem Entitytyp verknüpft, um alle Cluster nach Entitytyp zu gruppieren. Die where-Klausel gibt an, nur nach potenziellen Problemen zu suchen (Potential Issues). Daher sind jetzt alle potenziellen Probleme nach Entitytyp gruppiert. Wie Sie im Blasendiagramm sehen, gibt es etwa 45 potenzielle Probleme mit dem Entitytyp Host (Linux).

In der Gruppentabelle werden die Details des Clusterbeispiels angezeigt, das der Anomaliegruppe entspricht. Beachten Sie den Loginhalt des in der Tabelle verfügbaren Clusterbeispiels, der möglicherweise die Ursache für das potenzielle Problem darstellt: detected unhandled Python exception.

Befolgen Sie den Link Potenzielle Probleme nach Entitytyp analysieren, um den Beispielbefehl zur Verwendung in Ihrer Umgebung abzurufen. Klicken Sie auf Mehr, um weitere Beispielbefehle anzuzeigen, die Sie verwenden können:

• Potenzielle Probleme nach Entity
• Potenzielle Problemausreißer nach Entity
• Potenzielle Problemausreißer nach Entitytyp
• Potenzielle Probleme nach Entity, Schweregrad

Im Beispiel Potenzielle Problemausreißer ähnelt die Abfrage dem erläuterten Beispiel. Es wurde jedoch eine weitere where-Klausel hinzugefügt (where 'Potential Issue' != null and count = 1), um alle Fehler zu identifizieren, die während des Zeitraums nur einmal aufgetreten sind. Beachten Sie jedoch, dass die Clusterbeispiele weiterhin die Variablen anzeigen, Sie aber keinen Drilldown in die in Link angezeigten Variablen durchführen können.

Weitere Informationen zur Linkvisualisierung und zu den Schritten für den Linkzugriff im Bereich Visualisieren finden Sie unter Linkvisualisierung.