Documentation sur Oracle Cloud Infrastructure

Effectuer des analyses avancées avec la comparaison de regroupements

Voici quelques scénarios types d'utilisation de l'utilitaire de comparaison de regroupements. Vous pouvez comparer deux jeux de données de journal en réduisant les doubles et en affichant uniquement les regroupements uniques trouvés dans chaque jeu. Cela vous permet éventuellement de déterminer la cause fondamentale d'un problème en supprimant les regroupements en double.

Rubriques :

Pour les étapes de mise en oeuvre de l'utilitaire de comparaison de regroupements, voir Utiliser l'utilitaire de comparaison de regroupements.

Pour la syntaxe et d'autres détails de la commande clustercompare, voir clustercompare.

Comparaison de regroupements par décalage

Pour générer des analyses utiles en vous limitant aux regroupements qui sont uniques dans la période courante, utilisez l'option Décalage. Il s'agit de l'option par défaut disponible avec l'utilitaire de comparaison de regroupements.

Considérons que nous voulons comparer les données de journal de la source Linux Syslog Logs collectées au cours de la semaine courante et de la semaine précédente. 

|========================|========================|
   Baseline Time Range      Current Time Range
<----Use the same query in both the time ranges---->

Sélectionnez l'intervalle de temps courant dans le sélecteur de temps comme Last 7 days et spécifiez l'interrogation 'Log Source' = 'Linux Syslog Logs' | cluster. Pour l'utilitaire de comparaison de regroupements, il s'agit de l'intervalle de temps courant et de l'interrogation courante.

Cliquez sur Comparaison de regroupements et notez que l'interrogation de référence est identique à l'interrogation courante. Notez également que l'intervalle de temps de référence est déjà sélectionné par défaut, soit une semaine avant la semaine courante. Cliquez sur Comparer.


Une description de cluster-compare-case1.png suit
Description de l'illustration cluster-compare-case1.png

Le sommaire de la comparaison de regroupements s'affiche comme suit :

  • 10 regroupements trouvés seulement dans l'intervalle courant
  • 248 regroupements trouvés seulement dans l'intervalle de référence
  • 13 regroupements communs trouvées dans les deux intervalles

Description de cluster-compare-case1-result.png :
Description de l'illustration cluster-compare-case1-result.png

À l'aide de ces données, vous pouvez identifier le problème potentiel unique dans la semaine courante et déterminer une cause fondamentale. Affinez la sélection des enregistrements de journal à ceux qui sont à l'origine du problème potentiel.

Note : La valeur de décalage est soustraite du début et de la fin de l'intervalle de temps courant. Si le décalage est inférieur à la durée de l'intervalle de temps courant, il y aura un chevauchement. Toutes les regroupements communs (en double) de cette période de chevauchement seront affichés. Un message sera affiché lors de leur détection. Dans ce cas, l'interrogation de référence est identique à l'interrogation courante.

Comparaison de regroupements par intervalle de temps personnalisé

Si vous souhaitez comparer les données de journal provenant de la même source mais sur deux intervalles de temps personnalisés, utilisez l'option Intervalle de temps personnalisé dans l'utilitaire de comparaison de regroupements.

Considérons que nous voulons comparer les données de journal du type d'entité Host (Linux) collectées sur l'intervalle de temps courant dans le mois de juin 2019 et l'intervalle de temps de référence dans le mois d'août 2016. 

|========================|                          |========================|
   Baseline Time Range                                   Current Time Range
<---------------->Use the same query in both the time ranges<---------------->

Sélectionnez l'intervalle de temps courant entre le sélecteur de temps pour la période du June 1, 2019 12:00 AM au June 27, 2019 8:21 PM et spécifiez l'interrogation 'Entity Type' = 'Host (Linux)' | cluster. Pour l'utilitaire de comparaison de regroupements, il s'agit de l'intervalle de temps courant et de l'interrogation courante.

Cliquez sur Comparaison de regroupements et notez que l'interrogation de référence est identique à l'interrogation courante. Cliquez sur l'icône icône Modifier à côté de Intervalle de temps de référence et sélectionnez Utiliser un intervalle de temps personnalisé. Spécifiez l'intervalle de temps personnalisé, du Aug 15, 2016 12:00 AM au Aug 20, 2016 12:00 AM. Cliquez sur Comparer.

Le sommaire de la comparaison de regroupements s'affiche comme suit :

  • 278 regroupements trouvés seulement dans l'intervalle courant
  • 7 regroupements trouvés seulement dans l'intervalle de référence
  • 4 regroupements communs trouvés dans les deux intervalles

Description de cluster-compare-case2-result.png :
Description de l'illustration cluster-compare-case2-result.png

Cette analyse peut vous permettre de comparer les données syslog du type d'entité sur les deux périodes, d'éliminer les regroupements communs et d'afficher les regroupements uniques. Dans ce cas, l'augmentation du nombre de problèmes potentiels entre l'intervalle de référence et l'intervalle de temps courant peut être analysée en affichant les journaux relatifs aux problèmes potentiels dans l'intervalle de temps courant.

Comparaison de regroupements par intervalle de temps courant

Si vous souhaitez comparer les journaux de différentes sources dans le même intervalle de temps, utilisez la comparaison de regroupements selon l'intervalle de temps courant et sélectionnez les journaux de différents types d'entité ou sources.

Considérons un cas où une erreur est signalée sur le noeud d'une application Rideshare rs_host01 mais pas sur le noeud rs_host03. Les deux noeuds peuvent ensuite être comparés à l'aide du même intervalle de temps, du Aug 14, 2016, 9:30:00 AM au Aug 20, 2016, 9:30:00 AM pour détecter les écarts et identifier les problèmes et déterminer leur cause fondamentale. Les deux noeuds contiennent environ 20 000 enregistrements de journal à comparer et à analyser. 

|=================================================|
<----Baseline Time Range = Current Time Range----->
<-----------------Baseline Query------------------>
<------------------Current Query------------------>

Sélectionnez l'intervalle de temps courant dans le sélecteur de temps, du Aug 14, 2016, 9:30:00 AM au Aug 20, 2016, 9:30:00 AM et spécifiez l'interrogation Entity = rs_host01. Pour l'utilitaire de comparaison de regroupements, il s'agit de l'intervalle de temps courant et de l'interrogation courante.

Cliquez sur Comparaison de regroupements et notez que l'interrogation de référence est identique à l'interrogation courante. Cliquez sur icône Modifier et modifiez l'interrogation de référence à Entity = rs_host03. Par défaut, l'intervalle de temps de référence est décalé dans le temps. Cliquez sur icône Modifier à côté de l'intervalle de temps de référence et sélectionnez l'option Utiliser l'intervalle de temps courant. Cliquez sur Comparer.

Le sommaire de la comparaison de regroupements s'affiche comme suit :

  • 2 regroupements trouvés seulement dans l'intervalle courant
  • 0 regroupement trouvé seulement dans l'intervalle de référence
  • 9 regroupements communs trouvés dans les deux intervalles

Description de cluster-compare-case3-result.png :
Description de l'illustration cluster-compare-case3-result.png

Notez que dans le même intervalle de temps, les deux noeuds Rideshare ont 9 regroupements communs et le noeud rs_host01 a 2 regroupements uniques. De toute évidence, la table des regroupements répertorie l'erreur fatale qui a provoqué le problème dans le noeud analysé.

Cette analyse élimine la complexité liée à la comparaison des 20 000 enregistrements issus des deux noeuds en supprimant les regroupements communs et en identifiant les regroupements uniques, ce qui réduit le nombre d'enregistrements à analyser.