Graphique des séries chronologiques

Vous pouvez générer le graphique de série chronologique en exécutant la commande timestats ou timecluster.

Rubriques :

Les options de graphique suivantes sont disponibles pour personnaliser votre vue de l'analyse des séries chronologiques :

Option d'histogramme	Services publics
Type de graphique	Sélectionnez un des types de visualisation suivants pour afficher les données de groupe : Ligne avec marqueur : La taille des enregistrements de journal par rapport à l'intervalle de temps spécifique est tracée avec la ligne indiquant le marqueur qui représente la taille. Ligne sans marqueur : La taille des enregistrements de journal par rapport à l'intervalle de temps spécifique est tracée avec la ligne indiquant le nombre qui représente la taille. Ligne avec zone : Similaire à un graphique linéaire, mais la zone située entre la ligne et l'axe est en couleur. La zone colorée représente le volume de données. Bande avec zone : Ceci est similaire à la ligne avec zone. La région entre la valeur tracée et l'axe des x est colorée et apparaît comme une bande continue le long de l'axe des x. Marqueur seulement : La taille des enregistrements de journal par rapport à l'intervalle de temps spécifique est représentée par un marqueur. Barres : Les enregistrements de journal sont affichés sous forme de colonnes segmentées par rapport à la période. Il s'agit du graphique d'affichage par défaut. Carte thermique : Ce graphique affiche les valeurs les plus élevées dans des couleurs plus intenses.
Regrouper les graphiques	Aucun : Génère un graphique distinct pour chaque fonction de série chronologique. Tous : Regroupe les graphiques pour chaque fonction de série chronologique dans un graphique.
Afficher le graphique empilé	Cette option affiche les graphiques individuels empilés pour aider à comparer les valeurs, relatives ou absolues dans le temps.
Afficher les info-bulles corrélées	Lorsque vous consultez plusieurs graphiques, vous pouvez désélectionner la case à cocher Afficher les infobulles corrélées pour n'afficher qu'une seule infobulle à la fois.
Afficher la légende	Activer/désactiver l'affichage des légendes.
Masquer l'axe Y	Vous pouvez masquer l'affichage de la variable utilisée pour tracer l'axe y pour une meilleure visualisation.
Hauteur et Largeur	Vous pouvez modifier la hauteur et la largeur du graphique pour optimiser la visualisation et afficher plusieurs graphiques sur une seule ligne.

Modifier les couleurs dans le graphique des séries chronologiques

Pour modifier la palette de couleurs de la carte thermique, dans le menu Paramètres à côté du titre du graphique de série chronologique, puis cliquez sur Palette de couleurs. Vous pouvez également cliquer sur le lien Couleur adjacent au graphique et au nom du champ. Sélectionnez les couleurs dans la palette de couleurs.

Le graphique Carte thermique modifie les couleurs de la palette sélectionnée :

Carte thermique dans de nouvelles couleurs

Dans le diagramme ci-dessus, vous pouvez remarquer que les valeurs les plus élevées sont faciles à identifier avec l'intensité plus élevée des couleurs.

Utiliser et personnaliser les filtres de série chronologique

Accédez à la boîte de dialogue Options de filtre à partir du menu Paramètres à côté du titre de votre graphique de série chronologique.

Rubriques :

Activer les filtres

La boîte de dialogue Options de filtre affiche la liste des champs utilisés dans le graphique des temps. Cochez la case Afficher les filtres de recherche. Vous pouvez sélectionner un ou plusieurs champs à afficher dans le panneau Filtre. Prenons par exemple la recherche suivante :

*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Entity Type'
| timestats name = 'Entity Types'
            sum(Count) as 'Number of Logs',
            sum('Raw Size (bytes)') as 'Log Size'
        by 'Entity Type'

La boîte de dialogue Options de filtre affiche maintenant les champs suivants générés par la commande timestats et les champs utilisés dans la clause par : Type d'entité, Nombre de journaux, Taille du journal.

Dans le panneau des champs, vous pouvez sélectionner un ou plusieurs filtres pour afficher uniquement ces points de données spécifiques. Vous pouvez réinitialiser le filtre en activant l'option Sélectionner tout.

Graphique à série chronologique avec filtres de champ

Une fois le filtre activé pour un champ spécifique, pour voir la liste complète des valeurs d'un champ chaîne, cliquez sur l'icône Paramètres à côté du nom du champ.

Personnaliser les filtres

Accédez à la boîte de dialogue Personnaliser les filtres à partir du menu Paramètres à côté du titre de votre graphique de série chronologique.

Dans le cas des champs numériques, vous pouvez également personnaliser le filtre en cliquant sur l'icône Paramètres à côté du nom du champ numérique. La boîte de dialogue Personnaliser le filtre s'ouvre. Les options Méthode de calcul de l'intervalle suivantes sont disponibles :

Par défaut : Par défaut, l'intervalle est fixé au cinquième de la valeur maximale, puis arrondi à 2s, 3s, 4s, 5s ou 10s. Par exemple, si la valeur maximale est 48, l'intervalle sera 10. Then the buckets would be calculated as Below 0, Up to 9, 10 - 19, 20 - 29, 30 - 39, 40 - 49, Above 50.
Logarithmique : Pour utiliser des intervalles logarithmiques tels que 1 - 10, 10 - 100 et 1000 - 10000, remplacez la méthode de calcul d'intervalle par logarithmique.
Personnalisé : Certains jeux de données nécessitent des intervalles de variables. Par exemple, considérez l'exigence de seau de moyenne d'UC comme 0 - 30 % pour la sous-utilisation, 30 - 80 % comme utilisation efficace, 80 - 95 % comme avertissement et tout élément supérieur à 95 % comme extrême. Pour configurer des intervalles de variables pour cela, vous pouvez fournir des valeurs séparées par des virgules 30,80,95. Les seaux sont alors créés 0-30, 30-80, 80-95, 95+.

Vous pouvez facultativement activer la case à cocher Valeurs de seau <= 0 séparément pour créer un seau distinct pour les valeurs de champ inférieures ou égales à zéro.

Rechercher dans le filtre

Accédez à la boîte de dialogue Personnaliser les filtres à partir du menu Paramètres à côté du titre de votre graphique de série chronologique.

Pour les champs chaîne, vous pouvez entrer une clé dans le texte à rechercher. Vous pouvez également fournir des expressions rationnelles pour la recherche. Par exemple, la recherche de e$ affiche toutes les valeurs de champ qui se terminent par la lettre e.

Cochez l'option Inverser pour afficher uniquement les valeurs qui ne correspondent pas aux critères.

Utilisez la commande `timestats` pour tracer une série chronologique

La commande timestats, lorsqu'elle est utilisée après la commande link, fournit des analyses de série chronologique supplémentaires et une visualisation riche.

Rubriques :

Dans l'exemple suivant, avec Journaux de flux de données d'activité d'intégration OCI, la tendance du temps utilisé est tracée en fonction des champs Action et Intégration :

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timestats name = 'Time Taken Trend' avg('Duration (ms)') as 'Time Taken' by Integration, Action

La tendance du temps utilisé est tracée sur la base des champs Action et intégration

Vous pouvez pointer la souris sur n'importe quel point de données pour obtenir les valeurs supérieures pour cette période.

Positionnez le pointeur de la souris sur le point de données pour obtenir les valeurs supérieures pour cette période

Pour les détails de la commande timestats et un cas d'utilisation détaillé du traçage de séries chronologiques à l'aide de la commande, voir timestats et Analyse de séries chronologiques à l'aide de la commande timestats.

Présentation de la syntaxe Link timestats

Dans le cas d'utilisation détaillé des séries chronologiques, Analyse des séries chronologiques à l'aide de la commande timestats, l'interrogation suivante est utilisée :

'Log Source' = 'OCI VCN Flow Unified Schema Logs' 
| link span=1day Time, Action
| timestats name="Trend of Action" sum(Count) as Records by Action

Les parties de la commande timestats dans l'exemple ci-dessus se présentent comme suit :

Les paramètres suivants peuvent être utilisés dans la syntaxe de commande :

Paramètre	Description
`name`	Titre facultatif du graphique. Si ce n'est pas le cas, le nom de l'axe Y est utilisé.
`span=<interval>`	Intervalle facultatif, par exemple 10min ou 1hour. Les valeurs sont regroupées jusqu'à cet intervalle à l'aide de la fonction spécifiée. Par défaut, l'intervalle spécifié pour la commande link est utilisé. Le graphique ne s'aligne pas correctement si des intervalles différents sont spécifiés pour les commandes `link` et `timestats`.
`field`	Nom d'un champ d'horodatage pour l'axe des X. Ce champ est facultatif. La valeur par défaut est le champ `Start Time`.
`<function>`	Nom de la fonction. Vous pouvez utiliser les fonctions associées à la commande `stats` avec la commande `timestats` également. Pour plus de détails sur les fonctions et les exemples d'utilisation des fonctions avec la commande, voir stats. Utilisez une virgule pour séparer plusieurs fonctions. Par exemple : `* \| eval 'Raw Size (bytes)' = unit('Raw Size', byte) \| link Time, 'Log Source' \| timestats avg('Raw Size (bytes)') as Size, sum(Count) as Records by 'Log Source'` Chaque fonction créera un nouveau diagramme. Vous pouvez utiliser l'option de corrélation dans l'interface utilisateur pour corréler visuellement les graphiques.
`as <alias>`	Indiquez un alias facultatif pour chaque série chronologique.
`by <field>`	La fonction est calculée pour chaque valeur distincte du champ spécifié. Vous pouvez spécifier plusieurs champs. Toutes les valeurs par clause d'une fonction donnée sont tracées sur le même graphique. Il y aura plusieurs graphiques si vous avez plus d'une fonction dans votre commande timestats. Note : Le nombre de champs Regrouper par est limité à 4.

Utilisation des champs dans les horodatages Link

Il existe deux types de champs qui peuvent être utilisés pour une fonction d'horodatage :

Champ de propriété : Champ utilisé dans la commande link ou créé à l'aide des commandes stats, eventstats, eval, lookup, nlp ou delta après link.
Champ d'enregistrement de journal : Champ défini dans la source de journaux et existant dans l'enregistrement de journal. Vous pouvez vous référer directement à ces champs à partir d'une fonction timestats.

Seuls les champs de propriété sont autorisés dans une clause partielle. Les champs volumineux tels que Message, Contenu initial, Pile d'erreurs ne sont pas autorisés dans une fonction ou dans une clause partielle.

Partage d'un sous-jeu de journaux : Utilisez la commande addfields pour générer des graphiques pour un sous-jeu de données spécifique. Les champs utilisés dans addfields doivent être un champ de propriété. L'exemple suivant illustre l'utilisation de addfields :

*
| link Time, 'Log Source'
| addfields 
   [ * | where 'Log Source' in ('Linux Audit Logs', 
                                'Linux Secure Logs', 
                                'Linux Syslog Logs', 
                                'Linux Cron Logs') 
       | timestats name = 'Linux Logs' sum(Count) as Records by 'Log Source' 
   ],    [ * | where 'Log Source' not in ('Linux Audit Logs', 
                                          'Linux Secure Logs', 
                                          'Linux Syslog Logs', 
                                          'Linux Cron Logs') 
             | timestats name = 'Non Linux Logs' sum(Count) as Records by 'Log Source' 
   ]

Spécification du nombre de graphiques à retourner : Utilisez les paramètres topcount ou bottomcount pour spécifier le nombre de graphiques à retourner dans l'interface utilisateur.

topcount : Lors du regroupement par champs, retourne N nombres de groupes distincts avec les valeurs agrégées les plus importantes.
bottomcount : Lors du regroupement par champs, retourne N nombres de groupes distincts avec les valeurs agrégées les plus petites.

Par exemple :

*
| link Time, 'Log Source'
| timestats topcount = 3 name = 'Top 3 Log Sources by Count'
            sum(Count) as 'Log Records'
        by 'Log Source'
| addfields
     [ * | where 'Log Source' in ('Linux Audit Logs', 'Linux Secure Logs', 'Linux Syslog Logs', 'Linux Cron Logs')
         | timestats bottomcount = 3 name = 'Bottom 3 Linux Logs'
                     sum(Count) as Records
                   by 'Log Source' ]

Les graphiques suivants sont générés suite à l'exécution de l'interrogation ci-dessus :

utiliser les paramètres topcount ou bottomcount pour spécifier le nombre de graphiques

Limites pour les séries chronologiques

Nombre de champs dans la clause par : Un maximum de quatre champs est autorisé dans la clause By.
Champs autorisés : N'utilisez pas de grands champs dans la fonction et dans la clause by. Les champs Message, Détails supplémentaires, Pile d'erreurs et Contenu de journal initial sont des exemples de grands champs.
Valeurs nulles : Les temps alignent les valeurs de la table de liens à l'aide des valeurs de la colonne Heure de début. Par exemple, un champ Durée peut avoir des valeurs seulement pour 10:06 AM, 10:10 AM et 1:12pm. Dans le cadre de l'alignement, une commande timestats avg(Duration) ferait la moyenne des valeurs 10:06 AM et 10:10 AM en une seule moyenne pour 10:00am. Comme il n'y a pas de valeurs pour 11am et 12pm, elles sont remplies de zéros. La valeur 1:12pm est placée à l'intervalle 1 PM.

L'intervalle d'alignement réel dépend de l'intervalle utilisé pour l'interrogation. Un intervalle peut être spécifié explicitement à l'aide du paramètre span.
Nombre de valeurs de série chronologique : Seule la commande 100 séries par horodatage est retournée. Voici quelques exemples qui illustrent cette limite :
- La commande timestats sum(Count) as Records by 'Log Source' retourne uniquement les 100 principales sources de journaux. Les 100 premiers sont identifiés en triant d'abord les valeurs de chaque série chronologique de la source de journaux, puis en triant ces séries chronologiques. Cela signifie que si les enregistrements d'une source de journaux contiennent tous les zéros et un seul pic important, ils sont inclus dans les résultats retournés.
- La commande timestats sum(Count) as Records by 'Log Source', Label retourne les 100 principales combinaisons unique de source et d'étiquette de journal.
Si des résultats partiels sont retournés, une icône d'information à côté de la série chronologique indique le nombre total de séries générées.

Voici quelques-unes des options permettant de gérer un grand nombre de valeurs de série chronologique :
- Utilisez la commande addfields pour filtrer les valeurs spécifiques à utiliser dans les temps.
- Utilisez topcount ou bottomcount pour retourner les 100 premiers ou les 100 derniers graphiques.
- Utilisez la commande timecluster pour regrouper les séries chronologiques. Cela réduit le nombre de graphiques, car seuls des échantillons représentatifs sont retournés.

Options de configuration pour les graphiques de série chronologique

Comme pour les histogrammes, les options suivantes sont disponibles pour que vous puissiez les explorer à l'aide des graphiques. Cliquez sur l'icône Options de graphique :

Masquer/Afficher les graphiques : Vous pouvez masquer ou afficher un graphique.
Sélection du type de graphique : Vous pouvez effectuer une sélection parmi différents types de graphique.
Ajustement de la hauteur et de la largeur du graphique : Vous pouvez augmenter la hauteur du graphique à l'aide de l'option Hauteur. Faites glisser le contrôle Largeur pour augmenter ou réduire la largeur des graphiques. S'il y a plus d'une fonction, la réduction de la largeur entraînerait l'affichage d'un plus grand nombre de graphiques dans la même rangée. À pleine largeur, tous les graphiques sont affichés dans des rangées individuelles. En réduisant la largeur, les graphiques sont disposés dans un ordre de plusieurs colonnes.
Corrélation entre les graphiques : Vous pouvez utiliser l'option de graphique Afficher les infobulles corrélées pour afficher les conseils d'outil corrélés entre les graphiques.

Vous pouvez également utiliser les options suivantes pour configurer vos graphiques :

Contrôle de légende : Vous pouvez activer ou désactiver les légendes à l'aide de l'option Afficher la légende des options de graphique.
Filtres de graphique : Vous pouvez utiliser les filtres pour analyser de manière interactive les séries chronologiques. Activez les filtres en cliquant sur Options de graphique, Filtres et Afficher les filtres de recherche. Les options de filtre affichent la liste des champs utilisés dans le graphique des temps. Vous pouvez sélectionner un ou plusieurs champs à afficher dans le panneau Filtre. Après avoir sélectionné les options de filtre, les champs générés par la commande timestats ainsi que les champs utilisés dans la clause by sont affichés au-dessus du graphique.

Sélectionnez un ou plusieurs filtres pour voir uniquement ces points de données spécifiques. Vous pouvez réinitialiser la sélection de filtre en activant l'option Sélectionner tout.
Rechercher et personnaliser des filtres : Cliquez sur l'icône Options à côté d'un nom de filtre pour voir la liste complète des valeurs de ce filtre. Vous pouvez entrer le texte à rechercher. Vous pouvez également fournir des expressions rationnelles pour la recherche. Par exemple, la recherche de e$ affiche tous les résultats qui se terminent par la lettre e.

Cochez l'option Inverser pour afficher uniquement les valeurs qui ne correspondent pas aux critères.
Sélectionner des couleurs : Vous pouvez configurer la couleur pour chaque série chronologique.

Considérons l'interrogation suivante qui présente la tendance de chaque Status dans les journaux de vérification OCI :
```
Status != null and 'Log Source' = 'OCI Audit Logs'
| link Time, Status
| timestats sum(Count) as 'Number of Hits' by Status
```
Le graphique affiche les valeurs Statut et leur couleur par défaut. Les valeurs du champ Statut sont 200, 201, 404, 409, 204 et 400.

Activez les filtres à l'aide des options de graphique pour afficher l'option de couleur à côté du graphique.

Cliquez sur le lien Couleur, sélectionnez le champ Status et sélectionnez une palette comportant autant de couleurs que les valeurs à configurer.

Mettez à jour chaque expression de couleur avec la valeur ou une expression rationnelle que vous souhaitez mettre en correspondance.

Vous pouvez répéter ce processus pour chaque champ de la liste déroulante Couleur pour configurer les couleurs.

Utilisez la commande `timecluster` pour tracer une série chronologique

Vous pouvez regrouper des valeurs de série chronologique similaires à l'aide de la commande timecluster après la commande link. La mise en grappe est utile lorsqu'il y a un grand nombre de séries chronologiques à analyser ou que vous souhaitez identifier différents comportements dans vos valeurs de séries chronologiques.

Rubriques :

Fonctionnement de la grappe de temps Link

Dans l'exemple suivant, timecluster est utilisé après link pour obtenir des exemples représentatifs des journaux de flux de données d'activités d'intégration OCI. Vous pouvez pointer la souris sur n'importe quel point de données pour obtenir des détails supplémentaires sur la grappe :

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timecluster name = 'Similar Integrations' avg('Duration (ms)') as 'Time Taken' by Integration, Action

Représentation en série chronologique des journaux de flux de données d'activités d'intégration OCI

Consultation de grappes individuelles à l'aide de filtres : Cliquez sur Options de graphique et cliquez sur Filtres pour activer et voir les filtres. Sélectionnez chaque ID grappe pour voir les détails de cette grappe.

Fonctionnement de Link timecluster

La mise en grappe examine chaque série chronologique ayant une forme et des valeurs similaires. Voici quelques-unes des caractéristiques utilisées pour regrouper les séries chronologiques :

Pics et vallées de la série chronologique : Les séries chronologiques avec des pics et des vallées similaires ont tendance à être regroupées.
Valeurs à chaque point : Même si deux séries chronologiques ont des pics similaires, elles peuvent toujours tomber dans des grappes différentes, si les valeurs sont éloignées.

Chaque grappe obtient les propriétés suivantes qui sont affichées dans la console :

Propriété	Description
ID grappe	ID unique pour la grappe
Membres de grappe	Nombre de séries chronologiques dans cette grappe
Valeur minimale	Valeur la plus basse pour cette grappe pour l'intervalle sélectionné
Valeur maximale	Valeur la plus élevée pour cette grappe pour l'intervalle sélectionné
Valeur	Valeur de la fonction `stats` spécifiée pour cette grappe, pour l'intervalle sélectionné
Pourcentage	Pourcentage de groupes représentés par le nombre de membres dans cette grappe
Exemples de grappe	Peu d'échantillons du cluster. Note : Il peut y avoir plus de valeurs que ce qui est affiché dans l'échantillon, car il ne s'agit que d'échantillons présentant un comportement similaire.

timecluster a une syntaxe et des options similaires à celles de la commande timestats. Pour comprendre la syntaxe et les options de configuration des graphiques de série chronologique, voir Présentation de la syntaxe Link timestats et Options de configuration pour les graphiques de série chronologique.

Pour un exemple de cas d'utilisation de traçage d'une série chronologique à l'aide de timecluster, voir Regroupement de séries chronologiques.

Documentation sur Oracle Cloud Infrastructure