Secteurs : Un graphique à secteurs présente la composition globale d'un jeu de données en encodant les valeurs de pourcentage sous forme d'angles.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Représentation circulaire du nombre d'enregistrements de journal regroupés à l'aide du paramètre d'entrée.

Comparez les grands groupes dans le cercle qui indiquent les pourcentages de l'ensemble du jeu des données. Par exemple, comparez les pourcentages des nombres d'enregistrements de journal provenant de différentes sources.

Description de l'illustration pie_tile.png

Barres : Le nombre d'enregistrements de journal s'affiche sous forme de colonnes segmentées par rapport à la période.

Champ Axe X par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

En outre, indiquez un deuxième paramètre dans la section Regrouper par pour voir un graphique à barres coloré et empilé.

Graphique à barres : Paramètre d'entrée représenté le long de l'axe X sous forme de colonnes segmentées, la hauteur de la colonne indiquant le nombre.

Graphique à barres empilées : Le paramètre d'entrée clé est regroupé en fonction du second paramètre et est représenté sous la forme d'un graphique à barres empilées le long de l'axe X. La hauteur globale de la colonne indique le nombre. La pile colorée représente le regroupement.

Graphique à barres : Comparez la taille des colonnes segmentées pour comparer le nombre d'enregistrements de journal en fonction du paramètre d'entrée. Par exemple, comparez le nombre d'enregistrements de journal de chaque source.

Graphique à barres empilées : Ici, vous pouvez comparer non seulement le nombre de valeurs du paramètre d'entrée, mais également le regroupement en fonction du second paramètre. Dans l'exemple suivant, le nombre d'enregistrements de journal provenant des sources est obtenu par la hauteur globale des colonnes segmentées. Les enregistrements de journal de chaque colonne sont regroupés en fonction de la gravité des erreurs détectées.

Description de l'illustration bar_tile.png

Voir Visualisation des graphiques à barres.

Barres horizontales : Le nombre d'enregistrements de journal s'affiche sous forme de rangées segmentées par rapport à la période.

Champ Axe Y par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Un paramètre, par exemple Log Source. En outre, indiquez un deuxième paramètre dans la section Regrouper par pour voir un graphique à barres horizontales coloré et empilé.

Graphique à barres horizontales : Paramètre d'entrée représenté le long de l'axe Y sous forme de colonnes segmentées, la largeur de la rangée indiquant le nombre.

Graphique à barres horizontales empilées : Le paramètre d'entrée clé est regroupé en fonction du second paramètre et est représenté en tant que graphique à barres empilées le long de l'axe X. La largeur globale de la rangée indique le nombre. La pile colorée représente le regroupement.

Graphique à barres horizontales : Comparez la taille des rangées segmentées pour comparer le nombre d'enregistrements de journal en fonction du paramètre d'entrée. Par exemple, comparez le nombre d'enregistrements de journal de chaque source.

Graphique à barres horizontales empilées : Ici, vous pouvez comparer non seulement le nombre de valeurs du paramètre d'entrée, mais également le regroupement en fonction du second paramètre. Dans l'exemple suivant, le nombre d'enregistrements de journal provenant des sources est obtenu en fonction de la largeur globale des rangées segmentées. Les enregistrements de journal de chaque rangée sont regroupés en fonction du type d'entité.

Description de l'illustration horbar_tile.png

Mappage : La répartition géographique des enregistrements de journal est affichée sur la carte du monde en fonction de l'emplacement à partir duquel les enregistrements de journal sont collectés.

Champs par défaut référencés : Client Host City, Client Host Region, Client Host Country, Client Host Continent et Client Coordinates.

Répartition géographique du nombre d'enregistrements de journal en fonction du paramètre géographique d'entrée.

Comparez le nombre d'enregistrements de journal en fonction de leur répartition géographique.

Voir Visualisation de carte.

Ligne : Le nombre d'enregistrements de journal par rapport à l'heure spécifique est tracé avec la ligne qui représente le nombre.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Ligne tracée qui présente le nombre du paramètre d'entrée le long de l'axe Y suivi sur la chronologie le long de l'axe X.

Comparez le nombre d'enregistrements de journal en fonction du paramètre d'entrée représenté par des lignes distinctes tracées par rapport au temps. Dans l'exemple suivant, le nombre d'enregistrements de journal provenant de diverses sources de journaux est représenté en fonction du temps sur chaque ligne.

Description de l'illustration line_tile.png

Voir Visualisation des graphiques linéaires.

Nuage de mots clés : Le jeu de données est représenté par un jeu de vignettes de mots dont la taille indique le nombre d'enregistrements de journal dans chaque groupe et les couleurs indiquent le regroupement.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

En outre, indiquez un second paramètre dans la section Couleur pour regrouper davantage le jeu de données. Par exemple, Entity Type.

Nuage de mots clés où la taille de la vignette de mot représente le nombre. De plus, lorsque vous indiquez un second paramètre d'entrée, vous pouvez voir un nuage de mots clés coloré dans lequel les mots sont regroupés en fonction du second paramètre. Les groupes sont représentés par des couleurs.

Comparez le nombre d'enregistrements de journal en fonction de la taille des vignettes de mot qui représente le paramètre d'entrée. Si vous avez indiqué le second paramètre, vous pouvez également afficher le regroupement de couleurs des vignettes de mot. Dans l'exemple suivant, la taille des vignettes de mot représente le nombre d'enregistrements de journal de chaque source. La couleur des vignettes de mots indique le type d'entité de chaque groupe.

Description de l'illustration wordcloud_tile.png

Voir Visualisation du nuage de mots clés.

Carte thermique : La carte thermique facilite la visualisation d'autres valeurs telles que les nombres ou l'utilisation par rapport au temps.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Le temps est tracé le long de l'axe y du graphique. Le long de l'axe x, le champ qui est l'entrée de la commande timestats est tracé, par exemple, Source de journaux. Chaque rectangle le long d'une ligne représente le nombre d'enregistrements de journal pour un intervalle de temps. La couleur du rectangle représente la plage dans laquelle le nombre appartient. Les plages sont affichées en haut du graphique.

Les rectangles de différentes couleurs représentent des valeurs au fil du temps afin que vous puissiez rapidement repérer les zones qui pourraient être intéressantes ou préoccupantes.

Voir Visualisation de carte thermique.

Table sommaire

Valeur par défaut : count

Facultativement, vous pouvez sélectionner une fonction mathématique différente à exécuter sur le jeu de données. Par exemple, Percentile, Median ou Average.

Champ Regrouper par par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'activer un regroupement supplémentaire du jeu de données.

La table sommaire est le graphique de visualisation le plus polyvalent qui peut effectuer une analyse statistique sur n'importe quel type de données d'entrée. Elle autorise également plusieurs paramètres d'entrée dans la section Regrouper par, ce qui permet des déductions plus complexes de l'analyse.

• Effectuez une analyse statistique sur l'ensemble du jeu de données.

• Sélectionnez les champs d'analyse statistique qui peuvent vous aider à comprendre le jeu de données.

• Regroupez votre analyse statistique pour corréler les résultats.

Voir Tables sommaires.

Enregistrements

Valeur par défaut : Entity, Entity Type, Log Source, Host Name (Server), Problem Priority et Label.

Facultativement, vous pouvez sélectionner d'autres paramètres d'entrée qui s'afficheront dans le graphique.

• Consultez le contenu du journal initial pour comprendre et corréler les valeurs des champs d'affichage.

• Affichez le contenu du journal correspondant à une heure de collecte de journal spécifique.

Table

Valeur par défaut : Entity, Entity Type, Log Source, Host Name (Server), Problem Priority et Label.

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée à afficher dans la table.

• Priorisez et sélectionnez les champs à afficher dans la table pour prendre des décisions.

• Filtrez le contenu du journal et affichez uniquement les données de chaque enregistrement de journal qui vous intéresse.

Valeur distincte

Valeur par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée à afficher dans la table.

• Identifiez les valeurs uniques des champs dans vos données de journal.

• Identifiez des groupes de champs uniques dans les données de journal.

Enregistrements avec histogramme

• Réduisez la taille du jeu de données pour la compréhension et l'analyse en regroupant les enregistrements de journal dans l'histogramme et en forant des enregistrements de journal spécifiques. Vous pouvez cliquer sur un segment de sélection dans l'histogramme pour accéder à un jeu spécifique d'enregistrements de journal et voir le contenu du journal d'origine.

• La combinaison de l'histogramme et du graphique d'enregistrements vous permet d'accéder plus rapidement au contenu du journal spécifique.

Tableau avec histogramme

• Utilisez un champ approprié pour regrouper les enregistrements de journal dans la visualisation d'histogramme. Dans l'histogramme, identifiez le jeu de données dont vous souhaitez consulter les détails et visualisez-les dans la table.

• La combinaison de l'histogramme et de la table permet de forer plus rapidement le jeu de données spécifique.

Diagramme en anneaux

Valeur par défaut : count

Vous pouvez éventuellement sélectionner un autre champ dont le nombre peut vous aider à générer le diagramme en anneaux.

Champ Regrouper par par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'activer un regroupement supplémentaire du jeu de données. Par exemple, Entity Type et Entity.

Par défaut, diagramme en anneaux qui représente les enregistrements de journal regroupés en fonction du paramètre par défaut. La taille d'un secteur dans le cercle indique le nombre d'enregistrements de journal dans le jeu de données spécifique. Si vous avez spécifié d'autres champs pour le regroupement, vous verrez un diagramme en anneaux concentrique, l'anneau le plus à l'intérieur représentant le premier calcul du regroupement, et les anneaux suivants représentant les calculs suivants, dans cet ordre.

Utilisez la visualisation de diagramme en anneaux pour analyser les données hiérarchiques de plusieurs champs. La hiérarchie est représentée sous la forme d'anneaux concentriques, l'anneau le plus à l'intérieur représentant le haut de la hiérarchie.

Dans l'exemple suivant, les enregistrements de journal sont regroupés à l'aide des champs Log Source, Entity Type et Entity. Cliquez sur un segment pour voir la visualisation Enregistrements avec histogramme pour le jeu de données spécifique. Le graphique d'enregistrements répertorie le contenu du journal initial en mettant en évidence les champs d'affichage par défaut.

Description de l'illustration sunburst_tile.png

Graphique à cases

Valeur par défaut : count

Vous pouvez éventuellement sélectionner un autre champ dont le nombre peut vous aider à générer le graphique à cases.

Champ Regrouper par par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'activer un regroupement supplémentaire du jeu de données.

Graphique à cases qui représente les enregistrements de journal regroupés en fonction du paramètre par défaut. La taille des rectangles indique le nombre d'enregistrements de journal dans le jeu de données spécifique. Si vous avez spécifié d'autres champs pour le regroupement, vous verrez un graphique à cases imbriqué qui regroupe les enregistrements de journal en fonction de tous les paramètres que vous avez spécifiés. Le graphique à cases imbriqué présente également la relation fractionnaire des champs de chaque jeu de données.

Utilisez la visualisation de graphique à cases pour analyser les données de plusieurs champs hiérarchiques et fractionnaires, à l'aide de rectangles imbriqués interactifs.

Dans l'exemple suivant, les enregistrements de journal sont regroupés à l'aide du champ Log Source. Cliquez sur un rectangle pour voir la visualisation Enregistrements avec histogramme pour le jeu de données spécifique. Le graphique d'enregistrements répertorie le contenu du journal initial en mettant en évidence les champs d'affichage par défaut.

Description de l'illustration treemap_tile.png

L'arbre est trié numériquement par nombre, mais vous pouvez également trier les données par ordre alphabétique. Par exemple :

'Log Source' = 'EBS Concurrent Request Logs' | stats distinctcount(Program) as pgm by Application, Program | sort Application, Program

ou

'Problem Priority' != null | stats distinctcount('Problem Priority') as prio by 'Log Source', 'Problem Priority'

Regroupement

La visualisation des regroupements fonctionne sur l'ensemble du jeu de données et n'est pas basée sur un paramètre spécifique.

La vue Regroupement affiche dans sa partie supérieure une bannière sommaire contenant les onglets suivants :

• Nombre total de regroupements : Nombre total de regroupements pour les enregistrements de journal sélectionnés.

• Problèmes potentiels : Nombre de regroupements présentant des problèmes potentiels basés sur des enregistrements de journal contenant des mots tels que erreur, fatal, exception, etc.

• Valeurs aberrantes : Nombre de regroupements qui sont survenus une seule fois au cours d'une période indiquée.

• Tendances : Nombre de tendances uniques au cours de la période. De nombreuses regroupements peuvent avoir la même tendance. Par conséquent, si vous cliquez sur ce panneau, un regroupement apparaît pour chacune des tendances.

Le regroupement utilise l'apprentissage automatique pour identifier le modèle des enregistrements de journal, puis pour regrouper les journaux ayant des modèles similaires. Vous pouvez approfondir vos recherches dans chacun des onglets en fonction de vos besoins. Lorsque vous cliquez sur l'un des onglets, la vue d'histogramme du regroupement change pour afficher les enregistrements de l'onglet sélectionné.

Le regroupement permet de réduire considérablement le nombre total d'entrées de journal que l'utilisateur doit explorer et d'identifier facilement les valeurs aberrantes. Voir Visualisation des regroupements.

Link

Champ Regrouper par par défaut : Log Source.

Facultativement, vous pouvez sélectionner d'autres paramètres d'entrée pour la section Regrouper par pour un regroupement plus pertinent des données de journal. Vous pouvez également sélectionner des paramètres supplémentaires pour la section Valeur.

• L'onglet Groupes affiche un graphique à bulles qui représente les groupes formés avec les champs utilisés pour la liaison dans les intervalles courants. Le champ Regrouper par est tracé le long de l'axe X et la durée de groupe le long de l'axe Y. La taille de chaque bulle du graphique est déterminée par le nombre de groupes qu'elle contient.

  Tendances : Projetez les données de série chronologique à l'aide de la fonction de tendance Link.

• L'onglet d'histogramme affiche les enregistrements ou les groupes de journaux dans la visualisation d'histogramme.

La table des groupes répertorie des paramètres tels que Source de journaux, Type d'entité, Entité, Nombre, Heure de début, Heure de fin et Durée de groupe pour chaque groupe. Si vous avez spécifié d'autres champs d'affichage, ils sont également inclus dans la table.

Utilisez la visualisation Link pour effectuer une analyse avancée des enregistrements de journal en combinant des enregistrements de journal individuels provenant de différentes sources en groupes, en fonction des champs que vous avez sélectionnés pour la liaison.

Le graphique à bulles affiche les anomalies dans les modèles en fonction de l'analyse des groupes. Vous pouvez examiner les anomalies plus avant en cliquant sur une bulle individuelle ou en sélectionnant plusieurs bulles. Pour voir les détails des groupes correspondant à l'anomalie, sélectionnez la bulle d'anomalie dans le graphique. Vous pouvez examiner l'anomalie pour identifier et corriger des problèmes. Voir Visualisation Link.

Pour certains exemples d'utilisation de la visualisation Link, voir Exécuter des analyses avancées avec Link.

Link by Cluster

Sélectionnez cluster() pour regrouper les données de journal à l'aide de la section d'interrogation et du paramètre d'entrée de la section Regrouper par pour un regroupement plus pertinent des données de journal.

L'onglet Regroupements affiche un graphique à bulles qui représente les groupes formés avec le champ sélectionné et les regroupements utilisés pour la liaison dans les intervalles courants. Le champ Regrouper par est tracé le long de l'axe X et la durée de groupe le long de l'axe Y.

La table des groupes répertorie des paramètres tels que Type d'entité, Exemple de regroupement, Nombre, Heure de début, Heure de fin et Durée du groupe pour chaque groupe. Si vous avez spécifié d'autres champs d'affichage, ils sont également inclus dans la table.

Utilisez la combinaison de visualisations Link et de regroupements pour effectuer cette analyse. La capacité d'apprentissage automatique de la visualisation des regroupements pour identifier les regroupements et les problèmes potentiels, et la capacité de la visualisation Link pour regrouper les enregistrements de journaux sur la base de la sélection des champs sont combinées pour limiter votre analyse à de petits groupes d'anomalies ou à des problèmes potentiels.

Vous pouvez affiner votre interrogation et préciser le résultat requis dans le graphique à bulles. L'analyse génère des regroupements qui sont formés en fonction de la sélection du champ à analyser. Vous pouvez examiner davantage les anomalies pour parvenir à des décisions concluantes de l'analyse.

Voir Link by Cluster.

Problèmes

• Sélectionnez l'intervalle de temps de référence qui regroupe le mieux le jeu de journaux type que votre système générerait.

• Sélectionnez l'intervalle de temps pour l'analyse qui contient les journaux qui vous intéressent pour l'analyse.

La sortie est le jeu de nouveaux problèmes identifiés dans vos journaux dans l'intervalle de temps sélectionné qui ne sont pas présents dans l'intervalle de temps de référence.

En outre, la visualisation affiche également Nouvelles valeurs aberrantes et résume le nombre d'enregistrements de journal utilisés dans l'analyse, le nombre total de grappes uniques identifiées et le nombre de sources de journaux dans lesquelles des problèmes ont été détectés.

La visualisation Problèmes utilise l'utilitaire clustercompare pour regrouper les journaux dans les intervalles de temps spécifiés, supprimer les grappes communes, puis générer un jeu unique de grappes à partir desquelles les nouveaux problèmes sont identifiés.

Cette visualisation est idéale si vous disposez d'un jeu sélectionné de journaux de référence que vous souhaitez comparer à d'autres journaux pour détecter de nouveaux problèmes.

Pour l'intervalle de temps de référence, sélectionnez l'intervalle de temps qui capture l'ensemble du cycle de génération des journaux. Une plage de référence plus longue peut prolonger l'exécution de l'interrogation.

L'intervalle de temps pour l'analyse doit également être sélectionné de telle sorte que le temps d'interrogation soit court et qu'il soit facile d'identifier les problèmes.

Voir Visualisation des problèmes.