cluster
Utilisez cette commande pour regrouper des enregistrements de journal similaires. La commande cluster utilise l'apprentissage automatique pour regrouper des enregistrements de journal en fonction des similitudes entre eux. Le regroupement permet de réduire considérablement le nombre total d'entrées de journal que l'utilisateur doit explorer et d'identifier facilement les valeurs aberrantes. Les entrées de journal regroupées sont présentées sous la forme de signatures de message.
Syntaxe
cluster [<cluster_options>]Dans la syntaxe ci-dessus, cluster_options a le format suivant :
[similarity=<similarity_value>]Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cluster_options, ainsi que leurs descriptions.
| Paramètre | Description |
|---|---|
|
|
Indique un seuil qui affecte la sensibilité de l'algorithme en cas de différences lors de l'exécution du regroupement. Il s'agit d'un nombre compris dans l'intervalle [0.00, 1.00] qui indique le pourcentage du nombre de mots pouvant être différents dans deux messages appartenant au même regroupement. Par exemple, une valeur de 0,67 indique que dans un message de 10 mots, jusqu'à 3 différences sont permises. Si la similarité n'est pas spécifiée, une valeur par défaut de |
Pour obtenir des exemples d'utilisation de cette commande dans des scénarios types, voir :
La commande suivante effectue une analyse de regroupement sur tous les journaux ayant une gravité fatale.
Severity = fatal | cluster La commande suivante effectue une analyse de regroupement sur tous les journaux ayant une gravité fatale et retourne les regroupements sommaires par ordre croissant.
Severity = fatal | cluster | sort Count