Kartenvisualisierung
Mit der Kartenvisualisierung in Oracle Logging Analytics können Sie Logdatensätze nach dem Speicherort gruppiert anzeigen, aus dem die Logs erfasst werden.
Weitere Themen:
- Wählen Sie im Log Explorer im Bereich Visualisieren die Option Zuordnen (
).Dadurch wird eine Weltkarte angezeigt, in der Logdatensätze nach Clientkoordinaten, Clienthostkontinent, Clienthostland, Clienthostort und Clienthostregion gruppiert werden können.Das folgende Beispiel zeigt die Karte, auf der die Logdatensätze von 1.195 Standorten erfasst werden:
Unter der Visualisierung gibt ein Warnsymbol zusammen mit dem Tipp an, dass mehr Daten verfügbar sind als angezeigt werden. Sie können die verfügbaren Daten filtern, indem Sie eines der Felder im Abschnitt Referenziert verwenden. Beispiel: Wenn Sie in den oben angezeigten Daten einen Filter anwenden, um die Logs nur vom Kontinent
Asiaanzuzeigen, wird die Abfrage aktualisiert, um die Auswahl wiederzugeben. Klicken Sie dazu auf das Aktionssymbol neben dem Feld Clienthostkontinent im Abschnitt Referenziert, klicken Sie auf Filter, aktivieren Sie das Kontrollkästchen fürAsiaim Dialogfeld Clienthostkontinent filtern, und klicken Sie auf Anwenden. - Um die Visualisierung für Ihren Anwendungsfall anzupassen, klicken Sie auf das Symbol "Kartenoptionen"
: -
Farbzuordnung anzeigen: Standardmäßig ist die Farbzuordnung aktiviert. Sie können die Graustufenkarte anzeigen.
-
Legende anzeigen: Zeigt die Zusammenfassung der Logdatensatzgrößen und die Anzahl der Gruppen an.
-
Punktfarbe: Wählen Sie die Farbe des Punktes aus, der den Ort darstellt, an dem die Logdatensätze erfasst werden.
-
Nächste Punkte kombinieren: Wenn die Anzahl der Standorte groß ist und Sie die Anzahl der Punkte reduzieren möchten, können Sie nahe gelegene Punkte kombinieren, um Ihre Ansicht zu vereinfachen.
-
Farbe für kombinierte Punkte: Wählen Sie die Farbe des Punktes aus, der die kombinierten Punkte darstellt.
-
Filtern bei Zoom: Wenn Sie diese Option aktivieren, wird eine neue Abfrage ausgeführt, die sich auf den mit rechteckigem Zoom ausgewählten Bereich konzentriert.
-
Mausrad aktivieren: Mit dem Mausrad im Visualisierungsbereich können Sie die Karte vergrößern oder verkleinern.
-
- Um die Analyse auf einen bestimmten Bereich der Karte zu konzentrieren, klicken Sie auf das Symbol "Rechteckiger Zoom"
, und wählen Sie den gewünschten Bereich aus. Dann passt sich die Karte automatisch an den Fokus auf die Region an. Wenn Sie die Option Bei Zoom filtern in den Kartenoptionen aktiviert haben, wird eine neue Abfrage ausgeführt, mit der die Logdatensätze im ausgewählten Bereich gefiltert werden.
Geolokation mit dem Befehl geostats angeben
Die Kartenvisualisierung verwendet die Geo-Standort-Koordinaten, um aggregierte Ergebnisse auf einer Karte anzuzeigen. Diese Koordinaten werden während der Logaufnahme basierend auf einem IP-Adressfeld angereichert. Möglicherweise haben jedoch nicht alle IP-Adressen ein gültiges Koordinatenfeld. Sie können jetzt Ihre eigenen Koordinaten angeben, wenn die Standardanreicherung falsch ist oder die Informationen fehlen.
Geben Sie mit der Option include=custom des Befehls geostats die Felder an, die Geolokationsinformationen enthalten. Sie müssen die Koordinaten angeben. Sie können auch optional den Ort, das Land und den Kontinent angeben. Anschließend müssen Sie das Feld "Koordinaten" in der Klausel by verwenden.
Im Folgenden finden Sie ein Beispiel, das die folgenden Werte mit einer eval-Anweisung bereitstellt:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23',
'Source IP' = '129.146.13.236', '32.72,-96.68',
null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23', southfield,
'Source Coordinates' = '32.72,-96.68', dallas,
null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'
Geolokation mit einem Lookup angeben
Anstatt eine eval zu verwenden, können Sie eine einfache oder Dictionary Lookup verwenden, um die Geolokationswerte anzugeben. Beispiel für einen Dictionary Lookup:
Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",DallasAnschließend können Sie den Lookup in der Abfrage verwenden:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'Siehe Dictionary Lookup erstellen.
Benutzerdefinierte Farben in der Karte verwenden
In der Kartenvisualisierung können Sie benutzerdefinierte Farben verwenden, um verschiedene Werte eines Feldes zu identifizieren. Das Feld muss im Abschnitt Gruppieren nach der Einstellungen enthalten sein. Verwenden Sie den Befehl highlightgroups nach dem Befehl geostats in der Abfrage, um benutzerdefinierte Farben anzugeben.
Im folgenden Beispiel ist das Feld Aktion im Abschnitt Gruppieren nach enthalten. Daher wird der Befehl geostats mit dem Feld Aktion aktualisiert. Als Nächstes wird die Abfrage bearbeitet, um den Befehl highlightgroups mit der Farbspezifikation hinzuzufügen, sodass für bestimmte Werte von Aktion die entsprechenden Farben in der Karte angezeigt werden:
| Wert des Feldes Aktion | Angezeigte Farbe |
|---|---|
reject |
rot |
accept, allow, alert |
Grün |
drop |
Blau |
Beispielabfrage nach den obigen Änderungen:
'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -ActionBeispiel für die Kartenvisualisierung beim Ausführen der obigen Abfrage:
