Verwenden Sie die Option "Zeitverschiebung", um nützliche Analysen zu generieren, indem Sie die Anzahl der Cluster auf die Cluster reduzieren, die im aktuellen Zeitraum eindeutig sind. Das ist die Standardoption, die mit dem Clustervergleichsutility verfügbar ist.

Angenommen, Sie möchten die in der aktuellen Woche und der vergangenen Woche erfassten Logdaten aus der Quelle Linux Syslog Logs vergleichen.

|========================|========================|
   Baseline Time Range      Current Time Range
<----Use the same query in both the time ranges---->

Wählen Sie den aktuellen Zeitraum über den Zeitselektor als Last 7 days aus, und geben Sie die Abfrage 'Log Source' = 'Linux Syslog Logs' | cluster an. Für das Clustervergleichsutility gilt das als aktueller Zeitraum und aktuelle Abfrage.

Klicken Sie auf Clustervergleich. Beachten Sie, dass die Baselineabfrage mit der aktuellen Abfrage identisch ist. Beachten Sie außerdem, dass der Baselinezeitraum bereits standardmäßig ausgewählt ist (eine Woche vor der aktuellen Woche). Klicken Sie auf Vergleichen.

Die Clustervergleichsübersicht wird wie folgt angezeigt:

• 10 Cluster werden nur im aktuellen Bereich gefunden.
• 248 Cluster werden nur im Baselinebereich gefunden.
• 13 gemeinsame Cluster treten in beiden Bereichen auf.

Anhand dieser Daten können Sie das eindeutige potenzielle Problem in der aktuellen Woche identifizieren und eine Ursache ermitteln. Schränken Sie die Auswahl der Logdatensätze auf diejenigen ein, die die Ursache für das potenzielle Problem sind.

Hinweis: Der Zeitverschiebungswert wird vom Anfang und Ende der aktuellen Zeit abgezogen. Wenn die Zeitverschiebung unter der Dauer der aktuellen Zeit liegt, gibt es eine Überschneidung. Dadurch werden alle gemeinsamen (doppelten) Cluster aus diesem Überschneidungszeitraum angezeigt. Dabei wird eine Meldung angezeigt. In diesem Fall ist die Baselineabfrage mit der aktuellen Abfrage identisch.

Wenn Sie Logdaten aus derselben Quelle, aber über zwei benutzerdefinierte Zeitbereiche vergleichen möchten, verwenden Sie die Option "Benutzerdefinierte Zeit" im Clustervergleichsutility.

Angenommen, Sie möchten die Logdaten des Entitytyps Host (Linux), die im aktuellen Zeitraum im Juni 2019 erfasst wurden, mit dem Baselinezeitraum August 2016 vergleichen.

|========================|                          |========================|
   Baseline Time Range                                   Current Time Range
<---------------->Use the same query in both the time ranges<---------------->

Wählen Sie den aktuellen Zeitraum über den Zeitselektor für den Zeitraum June 1, 2019 12:00 AM bis June 27, 2019 8:21 PM aus, und geben Sie die Abfrage 'Entity Type' = 'Host (Linux)' | cluster an. Für das Clustervergleichsutility gilt das als aktueller Zeitraum und aktuelle Abfrage.

Klicken Sie auf Clustervergleich. Beachten Sie, dass die Baselineabfrage mit der aktuellen Abfrage identisch ist. Klicken Sie neben dem Baselinezeitraum auf das Symbol , und wählen Sie Benutzerdefinierte Zeit verwenden aus. Geben Sie den benutzerdefinierten Zeitraum Aug 15, 2016 12:00 AM bis Aug 20, 2016 12:00 AM an. Klicken Sie auf Vergleichen.

Die Clustervergleichsübersicht wird wie folgt angezeigt:

• 278 Cluster werden nur im aktuellen Bereich gefunden.
• 7 Cluster werden nur im Baselinebereich gefunden.
• 4 gemeinsame Cluster treten in beiden Bereichen auf.

Mit dieser Analyse können Sie die Syslog-Daten aus dem Entitytyp über die beiden Zeiträume vergleichen, die gemeinsamen Cluster entfernen und die eindeutigen Cluster anzeigen. In diesem Fall kann die Erhöhung der Anzahl potenzieller Probleme zwischen dem Baselinebereich und dem aktuellen Zeitraum analysiert werden, indem Sie die Logs zu den potenziellen Problemen im aktuellen Zeitraum anzeigen.

Wenn Sie Logs aus verschiedenen Quellen in demselben Zeitraum vergleichen möchten, verwenden Sie den Clustervergleich nach aktueller Zeit, und wählen Sie die Logs aus verschiedenen Entitytypen oder Quellen aus.

Angenommen, auf dem Knoten einer Rideshare-Anwendung rs_host01 wird ein Fehler gemeldet wird, jedoch nicht auf dem Knoten rs_host03. Beide Knoten können dann mit demselben Zeitraum von Aug 14, 2016, 9:30:00 AM bis Aug 20, 2016, 9:30:00 AM verglichen werden, um Variationen zu erkennen und Probleme zu identifizieren, deren Ursache Sie dann bestimmen können. Beide Knoten enthalten rund 20.000 Logdatensätze für Vergleich und Analyse.

|=================================================|
<----Baseline Time Range = Current Time Range----->
<-----------------Baseline Query------------------>
<------------------Current Query------------------>

Wählen Sie den aktuellen Zeitraum über den Zeitselektor als Aug 14, 2016, 9:30:00 AM bis Aug 20, 2016, 9:30:00 AM aus, und geben Sie die Abfrage Entity = rs_host01 an. Für das Clustervergleichsutility gilt das als aktueller Zeitraum und aktuelle Abfrage.

Klicken Sie auf Clustervergleich. Beachten Sie, dass die Baselineabfrage mit der aktuellen Abfrage identisch ist. Klicken Sie auf , und ändern Sie die Baselineabfrage in Entity = rs_host03. Standardmäßig weist der Baselinezeitraum eine Zeitverschiebung auf. Klicken Sie neben dem Baselinezeitraum auf , und wählen Sie die Option Aktuelle Zeit verwenden aus. Klicken Sie auf Vergleichen.

Die Clustervergleichsübersicht wird wie folgt angezeigt:

• 2 Cluster werden nur im aktuellen Bereich gefunden.
• 0 Cluster werden nur im Baselinebereich gefunden.
• 9 gemeinsame Cluster treten in beiden Bereichen auf.

Beachten Sie, dass die beiden Rideshare-Knoten in demselben Zeitraum 9 gemeinsame Cluster aufweisen und der Knoten rs_host01 2 eindeutige Cluster enthält. Die Clustertabelle führt den schwerwiegenden Fehler auf, der das Problem im analysierten Knoten verursacht hat.

Diese Analyse vereinfacht den Vergleich von 20.000 Datensätzen aus beiden Knoten, indem die gemeinsamen Cluster entfernt und eindeutige Cluster identifiziert werden, sodass weniger Datensätze analysiert werden müssen.