Visualización de mapa
Puede utilizar la visualización de mapa en Oracle Log Analytics para ver los registros de log agrupados por la ubicación desde la que se recopilan los logs.
Temas adicionales:
- En el explorador de logs, en el panel Visualizar, seleccione Asignar (
).Esto muestra un mapa mundial en el que los registros de log se pueden agrupar por Coordenadas de cliente, Continente de host de cliente, País de host de cliente, Ciudad de host de cliente y Región de host de cliente.En el siguiente ejemplo se muestra el mapa en el que se recopilan los registros de log de 1.195 ubicaciones:
Bajo la visualización, un icono de advertencia junto con la sugerencia indica que hay más datos disponibles de los que se muestran. Es posible que desee filtrar los datos disponibles mediante uno de los campos de la sección Con referencia. Por ejemplo, en los datos mostrados anteriormente, si aplica un filtro para mostrar los logs solo desde el continente
Asia, la consulta se actualiza para reflejar la selección. Para ello, haga clic en el icono Acciones situado junto al campo Continente de host de cliente de la sección Con referencia, haga clic en Filtro, active la casilla de control paraAsiaen el cuadro de diálogo Filtrar continente de host de cliente y haga clic en Aplicar. - Para personalizar la visualización para su caso de uso, haga clic en el icono Opciones de mapa
: -
Mostrar mapa de colores: por defecto, el mapa de colores está activado. Puede elegir ver el mapa de escala de grises.
-
Mostrar leyenda: muestra el resumen de los tamaños de registro de log y el número de grupos.
-
Color de punto: seleccione el color del punto que representa la ubicación desde la que se recopilan los registros de log.
-
Combinar puntos cercanos: si el número de ubicaciones es varios y desea reducir el número de puntos, puede combinar puntos cercanos para simplificar la vista.
-
Color de puntos combinados: seleccione el color del punto que representa los puntos combinados.
-
Filtrar al zoom: si activa esta opción, se ejecuta una nueva consulta que se centra en el área seleccionada con el zoom rectangular.
-
Activar rueda mousewheel: utilice la rueda mousewheel dentro del área de visualización para acercar o alejar el mapa.
-
- Para centrar el análisis en una región específica del mapa, haga clic en el icono de zoom rectangular
y seleccione el área de interés. A continuación, el mapa se ajusta automáticamente para centrarse en la región. Si ha activado la opción Filtrar al zoom en las opciones de mapa, se ejecuta una nueva consulta que filtra los registros de log en el área seleccionada.
Especificación de la geolocalización mediante el comando geostats
La visualización de mapa utiliza las coordenadas de geolocalización para mostrar los resultados agregados en un mapa. Estas coordenadas se enriquecen durante la ingesta de logs, en función de un campo de dirección IP. Sin embargo, no todas las direcciones IP pueden tener un campo de coordenadas válido. Ahora puede proporcionar sus propias coordenadas cuando el enriquecimiento por defecto es incorrecto o falta la información.
Utilice la opción include=custom para el comando geostats para especificar los campos que contienen la información de geolocalización. Debe proporcionar las coordenadas. También puede especificar de manera opcional las opciones Ciudad, País y Continente. Debe utilizar el campo Coordenadas en la cláusula by.
A continuación se muestra un ejemplo que utiliza una sentencia eval para proporcionar estos valores:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23',
'Source IP' = '129.146.13.236', '32.72,-96.68',
null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23', southfield,
'Source Coordinates' = '32.72,-96.68', dallas,
null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'
Especificar geolocalización mediante una consulta
En lugar de utilizar eval, puede utilizar una consulta de diccionario o simple para proporcionar los valores de geolocalización. A continuación, se muestra un ejemplo de consulta de diccionario:
Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",DallasA continuación, puede utilizar la consulta en la consulta:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'Consulte Creación de una consulta de diccionario.
Usar colores personalizados en el mapa
En la visualización del mapa, puede utilizar colores personalizados para identificar los diferentes valores de un campo. El campo debe incluirse en la sección Agrupar por de la configuración. Utilice el comando highlightgroups después del comando geostats en la consulta para especificar colores personalizados.
En el siguiente ejemplo, el campo Acción se incluye en la sección Agrupar por. Como resultado, el comando geostats se actualiza con el campo Acción. A continuación, la consulta se edita para agregar el comando highlightgroups con la especificación de color de modo que, para valores específicos de Acción, se muestren los colores correspondientes en el mapa:
| Valor del campo Acción | Color mostrado |
|---|---|
reject |
rojo |
accept, allow, alert |
verde |
drop |
azul |
Consulta de ejemplo después de realizar los cambios anteriores:
'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -ActionEjemplo de visualización de mapa al ejecutar la consulta anterior:
