Documentation sur Oracle Cloud Infrastructure

Visualisation de cartes

Vous pouvez utiliser la visualisation Carte dans Oracle Log Analytics pour voir les enregistrements de journal regroupés par emplacement à partir duquel les journaux sont collectés.

Sujets supplémentaires :

Avant de pouvoir utiliser la carte pour voir les enregistrements de journal en fonction des champs d'emplacement, si vous n'utilisez pas de source définie par Oracle, vous devez définir les options d'enrichissement de champ pour alimenter les champs de la ville, de la région, du pays, du continent ou des coordonnées d'emplacement dans la source de journaux à partir de la page Administration d'Oracle Log Analytics. Voir Configurer les options d'enrichissement de champ.
  1. Recherchez des journaux pour un jeu d'entités. Voir Effectuer des recherches dans les journaux par entité.
  2. Dans l'explorateur de journaux, dans le panneau Visualiser, sélectionnez Carte (ouvrir la carte).
    This displays a world map where log records can be grouped by Client Coordinates, Client Host Continent, Client Host Country, Client Host City, and Client Host Region.

    L'exemple suivant montre la carte dans laquelle les enregistrements de journal sont collectés à partir de 1 195 emplacements :


    Visualisation de cartes

    Sous la visualisation, une icône d'avertissement accompagnée du conseil indique que le nombre de données disponibles est supérieur à celui affiché. Vous pouvez filtrer les données disponibles à l'aide de l'un des champs de la section Référencée. Par exemple, dans les données affichées ci-dessus, si vous appliquez un filtre pour afficher les journaux uniquement à partir du continent Asia, l'interrogation est mise à jour pour refléter la sélection. To do this, click the Actions icon next to the Client Host Continent field in the Referenced section, click Filter, enable the check box for Asia in the Filter Client Host Continent dialog box, and click Apply.

  3. Pour personnaliser la visualisation pour votre cas d'utilisation, cliquez sur l'icône Options de carte Icône des options de mappage :

    • Afficher la carte de couleur : Par défaut, la carte de couleur est activée. Vous pouvez choisir d'afficher la carte en niveaux de gris.

    • Afficher la légende : Affiche le sommaire des tailles des enregistrements de journal et le nombre de groupes.

    • Couleur du point : Sélectionnez la couleur du point qui représente l'emplacement à partir duquel les enregistrements de journal sont collectés.

    • Combiner les points à proximité : Si le nombre d'emplacements est grand et que vous voulez réduire le nombre de points, vous pouvez combiner les points à proximité pour simplifier votre vue.

    • Couleur des points combinés : Sélectionnez la couleur du point qui représente les points combinés.

    • Filtrer sur le zoom : Si vous activez cette option, une nouvelle interrogation est exécutée qui se concentre sur la zone sélectionnée avec un zoom rectangulaire.

    • Activer le volant : Utilisez le volant à l'intérieur de la zone de visualisation pour effectuer un zoom avant ou arrière sur la carte.

  4. Pour concentrer votre analyse sur une région spécifique de la carte, cliquez sur l'icône Zoom rectangulaire Icône de zoom rectangulaire et sélectionnez la zone d'intérêt. Ensuite, la carte s'ajuste automatiquement pour se concentrer sur la région. Si vous avez activé l'option Filtrer sur zoom dans les options de mappage, une nouvelle interrogation est exécutée qui filtre les enregistrements de journal dans la zone sélectionnée.

Spécifier la géolocalisation à l'aide de la commande geostats

La visualisation Map utilise les coordonnées de géolocalisation pour afficher les résultats agrégés sur une carte. Ces coordonnées sont enrichies lors de l'ingestion du journal, en fonction d'un champ d'adresse IP. Cependant, toutes les adresses IP peuvent ne pas avoir de champ de coordonnées valide. Vous pouvez désormais fournir vos propres coordonnées lorsque l'enrichissement par défaut est incorrect ou que les informations sont manquantes.

Utilisez l'option include=custom pour la commande geostats afin de spécifier les champs qui contiennent les informations de géolocalisation. Vous devez fournir les coordonnées. Vous pouvez également spécifier la ville, le pays et le contenu. Vous devez ensuite utiliser le champ Coordonnées dans la clause by.

Voici un exemple qui utilise un énoncé eval pour fournir ces valeurs : 

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23', 
                                 'Source IP' = '129.146.13.236', '32.72,-96.68', 
                                 null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23',  southfield,
                          'Source Coordinates' = '32.72,-96.68', dallas,
                          null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
       count by 'Source IP', 'Source Coordinates'

utiliser un énoncé d'évaluation pour fournir des valeurs de géolocalisation

Spécifier la géolocalisation à l'aide d'une consultation

Au lieu d'utiliser une valeur eval, vous pouvez utiliser une consultation simple ou de dictionnaire pour fournir les valeurs de géolocalisation. Voici un exemple de consultation de dictionnaire : 

Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",Dallas

Vous pouvez ensuite utiliser la consultation dans l'interrogation :

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
      count by 'Source IP', 'Source Coordinates'

Voir Créer une consultation de dictionnaire.

Utiliser des couleurs personnalisées dans la carte

Dans la visualisation de carte, vous pouvez utiliser des couleurs personnalisées pour identifier différentes valeurs d'un champ. Le champ doit être inclus dans la section Regrouper par des paramètres. Utilisez la commande highlightgroups après la commande geostats dans l'interrogation pour spécifier des couleurs personnalisées.

Dans l'exemple suivant, le champ Action est inclus dans la section Regrouper par. Par conséquent, la commande geostats est mise à jour avec le champ Action. Ensuite, l'interrogation est modifiée pour ajouter la commande highlightgroups avec la spécification de couleur de sorte que pour des valeurs spécifiques d'Action, les couleurs correspondantes soient affichées dans la carte :

Valeur du champ Action Couleur affichée
reject rouge
accept, allow, alert vert
drop bleu

Exemple d'interrogation après les modifications ci-dessus : 

'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -Action

Exemple de visualisation de carte lors de l'exécution de l'interrogation ci-dessus :


Exemple de visualisation de carte lors de l'exécution de l'interrogation ci-dessus