Documentation sur Oracle Cloud Infrastructure

Visualisation de cartes

Vous pouvez utiliser la visualisation Map dans Oracle Logging Analytics pour afficher les enregistrements de journal regroupés par emplacement à partir duquel les journaux sont collectés.

Rubriques supplémentaires :

Avant de pouvoir utiliser Map pour voir les enregistrements de journal en fonction des champs d'emplacement, si vous n'utilisez pas de source définie par Oracle, vous devez définir les options d'enrichissement de champ pour alimenter les champs de coordonnées de ville, de région, de pays, de continent ou d'emplacement dans la source de journaux à partir de la page Administration d'Oracle Logging Analytics. Voir Configurer les options d'enrichissement de champ.
  1. Recherchez des journaux pour un jeu d'entités. Voir Effectuer des recherches dans les journaux par entité.
  2. Dans l'explorateur de journaux, dans le panneau Visualiser, sélectionnez Mappage (ouvrir la carte).
    Affiche une carte du monde dans laquelle les enregistrements de journal peuvent être regroupés par coordonnées du client, continent hôte client, pays hôte client, ville hôte client et région hôte client.

    L'exemple suivant montre la carte dans laquelle les enregistrements de journal sont collectés à partir de 1 195 emplacements :


    Visualisation de cartes

    Sous la visualisation, une icône d'avertissement avec le conseil indique que plus de données sont disponibles que ce qui est affiché. Vous pouvez filtrer les données disponibles à l'aide d'un des champs de la section Référencé. Par exemple, dans les données affichées ci-dessus, si vous appliquez un filtre pour afficher les journaux uniquement à partir du continent Asia, l'interrogation est mise à jour pour refléter la sélection. Pour ce faire, cliquez sur l'icône Actions située à côté du champ Continent de l'hôte client dans la section Référencé, cliquez sur Filtre, cochez la case Asia dans la boîte de dialogue Filtrer le continent de l'hôte client et cliquez sur Appliquer.

  3. Pour personnaliser la visualisation en fonction de votre cas d'utilisation, cliquez sur l'icône Options de carte Icône Options de mappage :

    • Afficher la carte des couleurs : Par défaut, la carte des couleurs est activée. Vous pouvez choisir d'afficher la carte en niveaux de gris.

    • Afficher la légende : Affiche le sommaire de la taille des enregistrements de journal et le nombre de groupes.

    • Couleur du point : Sélectionnez la couleur du point qui représente l'emplacement à partir duquel les enregistrements de journal sont collectés.

    • Combiner les points à proximité : Si le nombre d'emplacements est grand et que vous souhaitez réduire le nombre de points, vous pouvez combiner des points à proximité pour simplifier votre vue.

    • Couleur des points combinés : Sélectionnez la couleur du point qui représente les points combinés.

    • Filtrer sur le zoom : Si vous activez cette option, une nouvelle interrogation est exécutée qui se concentre sur la zone sélectionnée avec un zoom rectangulaire.

    • Activer la molette de la souris : Utilisez la molette de la souris dans la zone de visualisation pour effectuer un zoom avant ou arrière de la carte.

  4. Pour concentrer votre analyse sur une région spécifique de la carte, cliquez sur l'icône Zoom rectangulaire Icône de zoom rectangulaire et sélectionnez la zone d'intérêt. Ensuite, la carte s'ajuste automatiquement pour se concentrer sur la région. Si vous avez activé l'option Filtrer lors du zoom dans les options de carte, une nouvelle interrogation est exécutée qui filtre les enregistrements de journal dans la zone sélectionnée.

Spécifier la géolocalisation à l'aide de la commande geostats

La visualisation Carte utilise les coordonnées de géolocalisation pour afficher les résultats agrégés sur une carte. Ces coordonnées sont enrichies lors de l'ingestion du journal, en fonction d'un champ d'adresse IP. Cependant, toutes les adresses IP peuvent ne pas avoir un champ de coordonnées valide. Vous pouvez maintenant fournir vos propres coordonnées lorsque l'enrichissement par défaut est incorrect ou qu'il manque des informations.

Utilisez l'option include=custom pour la commande geostats afin de spécifier les champs qui contiennent les informations de géolocalisation. Vous devez fournir les coordonnées. Vous pouvez également spécifier la ville, le pays et le continent. Vous devez ensuite utiliser le champ Coordonnées dans la clause by.

Voici un exemple qui utilise un énoncé eval pour fournir ces valeurs : 

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23', 
                                 'Source IP' = '129.146.13.236', '32.72,-96.68', 
                                 null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23',  southfield,
                          'Source Coordinates' = '32.72,-96.68', dallas,
                          null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
       count by 'Source IP', 'Source Coordinates'

utiliser l'énoncé d'évaluation pour fournir des valeurs de géolocalisation

Spécifier la géolocalisation à l'aide d'une consultation

Au lieu d'utiliser eval, vous pouvez utiliser une consultation simple ou de dictionnaire pour fournir les valeurs de géolocalisation. Voici un exemple de consultation de dictionnaire : 

Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",Dallas

Vous pouvez ensuite utiliser la consultation dans l'interrogation :

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
      count by 'Source IP', 'Source Coordinates'

Voir Créer une consultation de dictionnaire.

Utiliser des couleurs personnalisées dans la carte

Dans la visualisation de carte, vous pouvez utiliser des couleurs personnalisées pour identifier différentes valeurs d'un champ. Le champ doit être inclus dans la section Regrouper par des paramètres. Utilisez la commande highlightgroups après la commande geostats dans l'interrogation pour spécifier des couleurs personnalisées.

Dans l'exemple suivant, le champ Action est inclus dans la section Regrouper par. Par conséquent, la commande geostats est mise à jour avec le champ Action. Ensuite, l'interrogation est modifiée pour ajouter la commande highlightgroups avec la spécification de couleur de sorte que, pour des valeurs spécifiques de l'action, les couleurs correspondantes s'affichent dans la carte :

Valeur du champ Action Couleur affichée
reject rouge
accept, allow, alert vert
drop bleu

Exemple d'interrogation après les modifications ci-dessus : 

'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -Action

Exemple de visualisation de carte lors de l'exécution de l'interrogation ci-dessus :


Exemple de visualisation de carte lors de l'exécution de l'interrogation ci-dessus