Zeitreihendiagramm

Sie können das Zeitreihendiagramm generieren, indem Sie den Befehl timestats oder timecluster ausführen.

Topics:

Die folgenden Diagrammoptionen sind verfügbar, um die Ansicht der Zeitreihenanalyse anzupassen:

Histogrammoption	Utility
Diagrammtyp	Wählen Sie einen der folgenden Visualisierungstypen aus, um die Gruppendaten anzuzeigen: Linie mit Marker: Die Größe der Logdatensätze für die angegebene Zeit wird mit einer Linie für den Marker der Größe dargestellt. Linie ohne Marker: Die Größe der Logdatensätze für die angegebene Zeit wird mit einer Linie für die Zahl der Größe dargestellt. Linien/Flächen: Dieses Diagramm entspricht einem Liniendiagramm, die Fläche zwischen der Linie und der Achse wird jedoch farbig abgedeckt. Der farbige Bereich stellt das Datenvolumen dar. Band mit Bereich: Dies entspricht einer Linie mit Bereich. Der Bereich zwischen dem gezeichneten Wert und der x-Achse ist eingefärbt und erscheint als kontinuierliches Band entlang der x-Achse. Nur Marker: Die Größe der Logdatensätze für die jeweilige Zeit wird durch einen Marker dargestellt. Balken: Die Logdatensätze werden als segmentierte Spalten für den Zeitraum angezeigt. Das ist das Standardanzeigediagramm. Heat Map: Dieses Diagramm zeigt die höheren Werte in intensiveren Farben an.
Diagramme gruppieren	Keine: Generiert ein separates Diagramm für jede Zeitreihenfunktion. Alle: Gruppiert die Diagramme für jede Zeitreihenfunktion in einem Diagramm.
Gestapelt anzeigen	Diese Option zeigt die einzelnen Diagramme gestapelt an, um die relativen oder absoluten Werte im Zeitverlauf zu vergleichen.
Korrelierte QuickInfos anzeigen	Wenn Sie mehrere Diagramme anzeigen, können Sie das Kontrollkästchen Korrelierte QuickInfos anzeigen deaktivieren, um jeweils nur eine QuickInfo anzuzeigen.
Legende anzeigen	Schalten Sie die Darstellung der Legenden um.
Y-Achse ausblenden	Sie können die Anzeige der Variablen ausblenden, die zur Darstellung der Y-Achse für eine bessere Visualisierung verwendet wird.
Höhe und Breite	Sie können die höhe und breite des Diagramms ändern, um die Visualisierung zu optimieren und mehrere Diagramme in einer Zeile anzuzeigen.

Farben im Zeitreihendiagramm ändern

Um das Farbschema der Heatmap zu ändern, klicken Sie im Menü Einstellungen neben dem Titel des Zeitreihendiagramms auf Farbpalette. Alternativ können Sie neben dem Diagramm und dem Feldnamen auf den Link Farbe klicken. Wählen Sie die Farben in der Farbpalette aus.

Das Heat Map-Diagramm ändert die Farben in der ausgewählten Palette:

Im obigen Diagramm können Sie feststellen, dass die höheren Werte mit der höheren Intensität der Farben leicht zu identifizieren sind.

Zeitreihenfilter verwenden und anpassen

Rufen Sie das Dialogfeld Filteroptionen im Menü "Einstellungen" unter neben dem Titel des Zeitreihendiagramms auf.

Topics:

Filter aktivieren

Das Dialogfeld "Filteroptionen" zeigt die Liste der Felder an, die im Zeitdiagramm verwendet werden. Aktivieren Sie das Kontrollkästchen Suchfilter anzeigen. Sie können ein oder mehrere Felder auswählen, die im Filterbereich angezeigt werden sollen. Beispiel für die folgende Suche:

*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Entity Type'
| timestats name = 'Entity Types'
            sum(Count) as 'Number of Logs',
            sum('Raw Size (bytes)') as 'Log Size'
        by 'Entity Type'

Im Dialogfeld "Filteroptionen" werden jetzt die folgenden vom Befehl timestats generierten Felder und die in der by-Klausel verwendeten Felder angezeigt: Entitytyp, Anzahl Logs, Loggröße.

Im Feldbereich können Sie einen oder mehrere Filter auswählen, um nur diese spezifischen Datenpunkte anzuzeigen. Sie können den Filter zurücksetzen, indem Sie die Option Alle auswählen umschalten.

Nachdem der Filter für ein bestimmtes Feld aktiviert wurde, klicken Sie zum Anzeigen der vollständigen Werteliste für ein Feld Zeichenfolge neben dem Feldnamen auf das Symbol "Einstellungen".

Filter anpassen

Rufen Sie das Dialogfeld Filter anpassen im Menü "Einstellungen" unter neben dem Titel des Zeitreihendiagramms auf.

Bei numerischen Feldern können Sie den Filter auch anpassen, indem Sie auf das Symbol "Einstellungen" neben dem numerischen Feldnamen klicken. Das Dialogfeld Filter anpassen wird geöffnet. Die folgenden Optionen für das Berechnungsverfahren für Bereich sind verfügbar:

Standard: Standardmäßig wird der Bereich auf ein Fünftel des Maximalwerts festgelegt und dann auf 2s, 3s, 4s, 5s oder 10s gerundet. Beispiel: Wenn der Höchstwert 48 ist, ist der Bereich 10. Then the buckets would be calculated as Below 0, Up to 9, 10 - 19, 20 - 29, 30 - 39, 40 - 49, Above 50.
Logarithmisch: Um logarithmische Bereiche wie 1 - 10, 10 - 100 und 1000 - 10000 zu verwenden, ändern Sie die Bereichsberechnungsmethode in logarithmisch.
Benutzerdefiniert: Bestimmte Datasets benötigen variable Bereiche. Betrachten Sie beispielsweise die Anforderung, den CPU-Durchschnitt als Bucket 0 - 30% für eine Unterauslastung, 30 - 80% als effektive Auslastung, 80 - 95% als Warnung und etwas über 95% als extremes Ende zu betrachten. Um Variablenbereiche dafür zu konfigurieren, können Sie kommagetrennte Werte 30,80,95 angeben. Dadurch werden die Buckets 0-30, 30-80, 80-95, 95+ erstellt.

Sie können optional das Kontrollkästchen Zeitraumwerte <= 0 getrennt aktivieren, um einen separaten Zeitraum für die Feldwerte kleiner oder gleich Null zu erstellen.

Im Filter suchen

Rufen Sie das Dialogfeld Filter anpassen im Menü "Einstellungen" unter neben dem Titel des Zeitreihendiagramms auf.

Für die Felder Zeichenfolge können Sie den Text für die Suche eingeben. Sie können auch reguläre Ausdrücke für die Suche angeben. Beispiel: Wenn Sie nach e$ suchen, werden alle Feldwerte angezeigt, die mit dem Buchstaben e enden.

Aktivieren Sie die Option Invertieren, um nur die Werte anzuzeigen, die nicht mit den Kriterien übereinstimmen.

`timestats`-Befehl zum Darstellen einer Zeitreihe verwenden

Der Befehl timestats, wenn er nach dem Befehl link verwendet wird, bietet zusätzliche Zeitreihenanalysen und umfassende Visualisierung.

Topics:

Im folgenden Beispiel mit Streamlogs für OCI-Integrationsaktivität wird der Trend für beanspruchte Zeit auf Basis der Felder Aktion und Integration dargestellt:

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timestats name = 'Time Taken Trend' avg('Duration (ms)') as 'Time Taken' by Integration, Action

Der Trend der Arbeitszeit wird anhand der Felder Aktion und Integration dargestellt

Sie können den Mauszeiger über einen beliebigen Datenpunkt bewegen, um die Top-Werte für diesen Zeitraum abzurufen.

Bewegen Sie den Mauszeiger über den Datenpunkt, um die Top-Werte für diesen Zeitraum abzurufen

Die Details zum Befehl timestats und einen detaillierten Anwendungsfall für das Plotten von Zeitreihen mit dem Befehl finden Sie unter timestats und Time Series Analysis Using timestats Command.

Syntax der Link-Zeitstatistiken

Im detaillierten Anwendungsfall Zeitreihenanalyse mit timestats-Befehl wird die folgende Abfrage verwendet:

'Log Source' = 'OCI VCN Flow Unified Schema Logs' 
| link span=1day Time, Action
| timestats name="Trend of Action" sum(Count) as Records by Action

Teile des Befehls timestats im obigen Beispiel sehen wie folgt aus:

Teile des timestats-Befehls im obigen Beispiel

Die folgenden Parameter können in der Befehlssyntax verwendet werden:

Parameter	Beschreibung
`name`	Der optionale Titel für das Diagramm. Wenn dies nicht angegeben ist, wird der Name der Y-Achse verwendet.
`span=<interval>`	Ein optionales Intervall wie 10min oder 1hour. Die Werte werden mit der angegebenen Funktion auf dieses Intervall summiert. Standardmäßig wird der für den Befehl link angegebene Wert span verwendet. Das Diagramm wird nicht ordnungsgemäß ausgerichtet, wenn verschiedene Spans für die Befehle `link` und `timestats` angegeben sind.
`field`	Name eines Zeitstempelfelds für die X-Achse. Dies ist ein fakultatives Feld. Der Standardwert ist das Feld `Start Time`.
`<function>`	Name der Funktion. Sie können die Funktionen, die mit dem Befehl `stats` verknüpft sind, auch mit dem Befehl `timestats` verwenden. Einzelheiten zu den Funktionen und Beispiele für die Verwendung der Funktionen mit dem Befehl finden Sie unter stats. Trennen Sie mehrere Funktionen durch Komma. Beispiel: `* \| eval 'Raw Size (bytes)' = unit('Raw Size', byte) \| link Time, 'Log Source' \| timestats avg('Raw Size (bytes)') as Size, sum(Count) as Records by 'Log Source'` Jede Funktion erstellt ein neues Diagramm. Mit der Korrelationsoption in der Benutzeroberfläche können Sie die Diagramme visuell korrelieren.
`as <alias>`	Geben Sie einen optionalen Alias für jede Zeitreihe an.
`by <field>`	Die Funktion wird für jeden eindeutigen Wert des angegebenen Feldes berechnet. Sie können mehrere Felder angeben. Alle nach Klauselwerte für eine bestimmte Funktion werden in demselben Diagramm dargestellt. Es gibt mehrere Diagramme, wenn Sie mehr als eine Funktion in Ihrem timestats-Befehl haben. Hinweis: Die Anzahl der gruppierten Felder ist auf 4 begrenzt.

Verwenden der Felder in den Link-Timestats

Es gibt zwei Arten von Feldern, die für eine Timestats-Funktion verwendet werden können:

Eigenschaftsfeld: Jedes Feld, das im Befehl link verwendet oder mit den Befehlen stats, eventstats, eval, lookup, nlp oder delta nach link erstellt wird.
Feld "Logdatensatz": Ein Feld, das in der Logquelle definiert ist und im Logdatensatz vorhanden ist. Sie können diese Felder direkt über eine Timestats-Funktion aufrufen.

In einer Beifallklausel sind nur Eigenschaftsfelder zulässig. Große Felder wie Nachricht, Ursprünglicher Inhalt, Fehlerstack sind in einer Funktion oder in einer Beifallklausel nicht zulässig.

Untergruppe von Logs befunden: Mit dem Befehl addfields können Sie Diagramme für eine bestimmte Teilmenge von Daten generieren. Die in addfields verwendeten Felder müssen ein Eigenschaftsfeld sein. Das folgende Beispiel veranschaulicht die Verwendung von addfields:

*
| link Time, 'Log Source'
| addfields 
   [ * | where 'Log Source' in ('Linux Audit Logs', 
                                'Linux Secure Logs', 
                                'Linux Syslog Logs', 
                                'Linux Cron Logs') 
       | timestats name = 'Linux Logs' sum(Count) as Records by 'Log Source' 
   ],    [ * | where 'Log Source' not in ('Linux Audit Logs', 
                                          'Linux Secure Logs', 
                                          'Linux Syslog Logs', 
                                          'Linux Cron Logs') 
             | timestats name = 'Non Linux Logs' sum(Count) as Records by 'Log Source' 
   ]

Anzahl der zurückzugebenden Diagramme angeben: Geben Sie mit den Parametern topcount oder bottomcount die Anzahl der Diagramme an, die an die UI zurückgegeben werden sollen.

topcount: Geben Sie bei der Gruppierung nach Feldern die Anzahl N eindeutiger Gruppen mit den größten aggregierten Werten zurück.
bottomcount: Geben Sie bei der Gruppierung nach Feldern die Anzahl N eindeutiger Gruppen mit den kleinsten aggregierten Werten zurück.

Beispiel:

*
| link Time, 'Log Source'
| timestats topcount = 3 name = 'Top 3 Log Sources by Count'
            sum(Count) as 'Log Records'
        by 'Log Source'
| addfields
     [ * | where 'Log Source' in ('Linux Audit Logs', 'Linux Secure Logs', 'Linux Syslog Logs', 'Linux Cron Logs')
         | timestats bottomcount = 3 name = 'Bottom 3 Linux Logs'
                     sum(Count) as Records
                   by 'Log Source' ]

Die folgenden Diagramme werden als Ergebnis der obigen Abfrage generiert:

Verwenden Sie die Parameter topcount oder bottomcount, um die Anzahl der Diagramme anzugeben

Limits für Zeitreihen

Anzahl Felder in der by-Klausel: In der Nebenklausel sind nur bis zu vier Felder zulässig.
Zulässige Felder: Verwenden Sie keine großen Felder in der Funktion und in der by-Klausel. Beispiele für große Felder sind die Felder Nachricht, Ergänzende Details, Fehlerstack und Ursprünglicher Loginhalt.
Nullwerte: Zeitwerte ausrichten die Werte in der Linktabelle mit den Werten in der Spalte Startzeit. Beispiel: Ein Feld Dauer kann nur Werte für 10:06 AM, 10:10 AM und 1:12pm enthalten. Im Rahmen der Ausrichtung würde ein timestats avg(Duration)-Befehl die Werte von 10:06 AM und 10:10 AM in einem einzigen Durchschnitt für 10:00 Uhr ausgeben. Da es keine Werte für 11 Uhr und 12 Uhr gibt, werden sie mit Nullen gefüllt. Der Wert 1:12pm wird im Intervall 1 PM platziert.

Das tatsächliche Ausrichtungsintervall hängt vom Intervall ab, das für die Abfrage verwendet wird. Mit dem Parameter span kann ein Intervall explizit angegeben werden.
Anzahl Zeitreihenwerte: Es werden nur 100 Serien pro Timestats-Befehl zurückgegeben. Hier sind einige Beispiele, die dieses Limit veranschaulichen:
- Der Befehl timestats sum(Count) as Records by 'Log Source' gibt nur die Top 100 Logquellen zurück. Die Top 100 werden identifiziert, indem zuerst die Werte der einzelnen Logquellenzeitreihen sortiert und dann diese Zeitreihen sortiert werden. Das heißt, wenn Datensätze für eine Logquelle nur Nullen und eine einzelne große Spitze enthält, ist dies in den zurückgegebenen Ergebnissen enthalten.
- Der Befehl timestats sum(Count) as Records by 'Log Source', Label gibt die Top 100 eindeutigen Kombinationen aus Logquelle und Label zurück.
Wenn Teilergebnisse zurückgegeben werden, gibt ein Informationssymbol neben der Zeitreihe die Gesamtanzahl der generierten Serien an.

Im Folgenden finden Sie einige Optionen für die Verarbeitung einer großen Anzahl von Zeitreihenwerten:
- Verwenden Sie den Befehl addfields, um die spezifischen Werte zu filtern, die in Timestats verwendet werden sollen.
- Verwenden Sie topcount oder bottomcount, um die oberen 100 oder unteren 100 Diagramme zurückzugeben.
- Verwenden Sie den Befehl timecluster, um die Zeitreihe zu clustern. Dies reduziert die Anzahl der Diagramme, da nur repräsentative Proben zurückgegeben werden.

Konfigurationsoptionen für Zeitreihendiagramme

Ähnlich wie bei den Histogrammdiagrammen stehen Ihnen die folgenden Optionen zur Verfügung, die Sie mit den Diagrammen untersuchen können. Klicken Sie auf das Symbol "Diagrammoptionen" :

Diagramme ein-/ausblenden: Sie können ein Diagramm ein- oder ausblenden.
Diagrammtyp auswählen: Sie können aus verschiedenen Diagrammtypen auswählen.
Höhe und Breite des Diagramms anpassen: Sie können die Höhe des Diagramms mit der Option "Höhe" erhöhen. Ziehen Sie das Steuerelement "Breite", um die Breite der Diagramme zu erhöhen oder zu verringern. Wenn mehrere Funktionen vorhanden sind, würde eine Verringerung der Breite dazu führen, dass mehr Diagramme in derselben Zeile angezeigt werden. Bei voller Breite werden alle Diagramme in einzelnen Zeilen angezeigt. Wenn Sie die Breite verringern, werden die Diagramme in mehreren Spalten angeordnet.
Über Diagramme hinweg korrelieren: Mit der Diagrammoption Korrelierte QuickInfos anzeigen können Sie korrelierte QuickInfos über Diagramme hinweg anzeigen.

Darüber hinaus können Sie die folgenden Optionen zur Konfiguration Ihrer Diagramme verwenden:

Legendensteuerelement: Sie können die Legenden mit der Option Legende anzeigen in den Diagrammoptionen aktivieren oder deaktivieren.
Diagrammfilter: Mit den Filtern können Sie die Zeitreihen interaktiv analysieren. Aktivieren Sie die Filter, indem Sie auf Diagrammoptionen, Filter und Suchfilter anzeigen klicken. Die Filteroptionen zeigen die Liste der Felder an, die im Zeitdiagramm verwendet werden. Sie können ein oder mehrere Felder auswählen, die im Filterbereich angezeigt werden sollen. Nachdem Sie die Filteroptionen ausgewählt haben, werden die vom Befehl timestats generierten Felder sowie die in der by-Klausel verwendeten Felder über dem Diagramm angezeigt.

Wählen Sie einen oder mehrere Filter aus, um nur diese spezifischen Datenpunkte anzuzeigen. Sie können die Filterauswahl zurücksetzen, indem Sie die Option Alle auswählen umschalten.
Filter suchen und anpassen: Klicken Sie auf das Symbol "Optionen" neben einem Filternamen, um die vollständige Werteliste für diesen Filter anzuzeigen. Sie können den Text für die Suche eingeben. Sie können auch reguläre Ausdrücke für die Suche angeben. Beispiel: Wenn Sie nach e$ suchen, werden alle Ergebnisse angezeigt, die mit dem Buchstaben e enden.

Aktivieren Sie die Option Invertieren, um nur die Werte anzuzeigen, die nicht mit den Kriterien übereinstimmen.
Farben auswählen: Sie können die Farbe für jede Zeitreihe konfigurieren.

Beachten Sie die folgende Abfrage, die den Trend jeder Status in den OCI-Auditlogs anzeigt:
```
Status != null and 'Log Source' = 'OCI Audit Logs'
| link Time, Status
| timestats sum(Count) as 'Number of Hits' by Status
```
Das Diagramm zeigt die Statuswerte und ihre Standardfarbe an. Die Werte des Feldes "Status" lauten 200, 201, 404, 409, 204 und 400.

Aktivieren Sie die Filter mithilfe der Diagrammoptionen, um die Farboption neben dem Diagramm anzuzeigen.

Klicken Sie auf den Link Farbe, wählen Sie das Feld Status aus, und wählen Sie eine Palette mit so vielen Farben wie die zu konfigurierenden Werte aus.

Aktualisieren Sie jeden Farbausdruck mit dem Wert oder einem regulären Ausdruck, den Sie abgleichen möchten.

Sie können diesen Vorgang für jedes Feld in der Dropdown-Liste "Farbe" wiederholen, um die Farben zu konfigurieren.

`timecluster`-Befehl zum Darstellen einer Zeitreihe verwenden

Sie können ähnliche Zeitreihenwerte mit dem Befehl timecluster nach dem Befehl link gruppieren. Clustering ist nützlich, wenn eine große Anzahl von zu analysierenden Zeitreihen vorhanden ist oder Sie unterschiedliche Verhaltensweisen in Ihren Zeitreihenwerten identifizieren möchten.

Themen:

Funktionsweise des Link-Zeitclusters

Im folgenden Beispiel wird timecluster nach link verwendet, um repräsentative Beispiele für OCI Integration Activity Stream-Logs abzurufen. Sie können mit der Maus auf einen beliebigen Datenpunkt zeigen, um weitere Details zum Cluster zu erhalten:

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timecluster name = 'Similar Integrations' avg('Duration (ms)') as 'Time Taken' by Integration, Action

Zeitreihendiagramm von OCI Integration Activity Stream-Logs

Einzelne Cluster mit Filtern anzeigen: Klicken Sie auf Diagrammoptionen, und klicken Sie auf Filter, um die Filter zu aktivieren und anzuzeigen. Wählen Sie jede Cluster-ID aus, um die Details für dieses Cluster anzuzeigen.

Erläuterungen zur Funktionsweise von Link timecluster

Clustering betrachtet jede Zeitreihe mit ähnlicher Ausprägung und ähnlichen Werten. Im Folgenden werden einige der Merkmale aufgeführt, die zum Clustering der Zeitreihen verwendet werden:

Gipfel und Täler in der Zeitreihe: Zeitreihen mit ähnlichen Gipfeln und Tälern werden tendenziell zusammen gruppiert.
Werte an jedem Punkt: Selbst wenn zwei Zeitreihen ähnliche Spitzen aufweisen, können sie dennoch in verschiedene Cluster fallen, wenn die Werte weit voneinander entfernt sind.

Jedes Cluster erhält die folgenden Eigenschaften, die in der Konsole angezeigt werden:

Eigenschaft	Beschreibung
Cluster-ID	Eine eindeutige ID für das Cluster
Cluster Member	Anzahl Zeitreihen in diesem Cluster
Mindestwert	Niedrigster Wert für dieses Cluster für das ausgewählte Intervall
Höchstwert	Höchster Wert für dieses Cluster für das ausgewählte Intervall
Wert	Wert der angegebenen `stats`-Funktion für dieses Cluster für das ausgewählte Intervall
Prozentsatz	Prozentsatz der Gruppen, die durch die Anzahl der Member in diesem Cluster repräsentiert werden
Clusterbeispiele	Nur wenige Proben des Clusters. Hinweis: Es können mehr Werte als die im Beispiel angezeigten Werte vorhanden sein, da es sich nur um Beispiele handelt, die ein ähnliches Verhalten aufweisen.

timecluster hat eine ähnliche Syntax und Optionen wie der Befehl timestats. Weitere Informationen zur Syntax und zu den Konfigurationsoptionen für die Zeitreihendiagramme finden Sie unter Syntax für Linktimestats und Konfigurationsoptionen für Zeitreihendiagramme.

Ein Beispielanwendungsfall für die Darstellung einer Zeitreihe mit timecluster finden Sie unter Time Series-Clustering.

Oracle Cloud Infrastructure-Dokumentation