Visualisation de carte

Vous pouvez utiliser la visualisation de carte dans Oracle Log Analytics pour afficher les enregistrements de journal regroupés par emplacement à partir duquel les journaux sont collectés.

Avant de pouvoir utiliser la carte pour afficher les enregistrements de journal en fonction des champs de lieu, si vous n'utilisez pas de source définie par Oracle, vous devez définir les options d'enrichissement de champ pour renseigner les champs de coordonnées de ville, de région, de pays, de continent ou de lieu dans la source de journal à partir de la page Administration d'Oracle Log Analytics. Reportez-vous à Configuration des options d'enrichissement de champ.
  1. Recherchez des journaux pour un ensemble d'entités. Reportez-vous à Recherche de journaux par entité.
  2. Dans l'explorateur de journaux, dans le panneau Visualiser, sélectionnez Mettre en correspondance (ouvrir la carte).
    Cette page affiche une carte du monde dans laquelle les enregistrements de journal peuvent être regroupés par coordonnées client, continent hôte client, pays de l'hôte client, ville de l'hôte client et région de l'hôte client.

    L'exemple suivant illustre la carte dans laquelle les enregistrements de journal sont collectés à partir de 1 195 emplacements :


    Visualisation de carte

    Sous la visualisation, une icône d'avertissement avec le conseil indique que plus de données sont disponibles que ce qui est affiché. Vous pouvez filtrer les données disponibles en utilisant l'un des champs de la section Référencé. Par exemple, dans les données affichées ci-dessus, si vous appliquez un filtre pour afficher uniquement les journaux du continent Asia, la requête est mise à jour pour refléter la sélection. Pour ce faire, cliquez sur l'icône Actions en regard du champ Continent hôte client dans la section Référencé, cliquez sur Filtrer, activez la case à cocher pour Asia dans la boîte de dialogue Filtrer le continent hôte client, puis cliquez sur Appliquer.

  3. Pour personnaliser la visualisation de votre cas d'emploi, cliquez sur l'icône Options de carte Icône Options de carte :
    • Afficher la palette de couleurs : par défaut, la palette de couleurs est activée. Vous pouvez choisir de visualiser la carte des niveaux de gris.

    • Afficher la légende : affiche le récapitulatif des tailles d'enregistrement de journal et le nombre de groupes.

    • Couleur du point : sélectionnez la couleur du point qui représente l'emplacement à partir duquel les enregistrements de journal sont collectés.

    • Combiner les points à proximité : si le nombre d'emplacements est nombreux et que vous souhaitez réduire le nombre de points, vous pouvez combiner les points à proximité pour simplifier la vue.

    • Couleur des points combinés : sélectionnez la couleur du point qui représente les points combinés.

    • Filtrer sur le zoom : si vous activez cette option, une nouvelle requête est exécutée qui se concentre sur la zone sélectionnée avec un zoom rectangulaire.

    • Activer la roue de souris : utilisez la roue de souris à l'intérieur de la zone de visualisation pour effectuer un zoom avant ou arrière sur la carte.

  4. Pour concentrer votre analyse sur une région spécifique de la carte, cliquez sur l'icône Zoom rectangulaire Icône de zoom rectangulaire et sélectionnez la zone d'intérêt. Ensuite, la carte s'ajuste automatiquement pour se concentrer sur la région. Si vous avez activé l'option Filtrer sur le zoom dans les options de carte, une nouvelle requête est exécutée pour filtrer les enregistrements de journal dans la zone sélectionnée.

Indiquer la géolocalisation à l'aide de la commande geostats

La visualisation de carte utilise les coordonnées de géolocalisation pour afficher les résultats agrégés sur une carte. Ces coordonnées sont enrichies lors de l'assimilation des journaux, en fonction d'un champ d'adresse IP. Cependant, toutes les adresses IP peuvent ne pas avoir de champ de coordonnées valide. Vous pouvez désormais fournir vos propres coordonnées lorsque l'enrichissement par défaut est incorrect ou que les informations sont manquantes.

Utilisez l'option include=custom pour la commande geostats afin de spécifier les champs contenant les informations de géolocalisation. Vous devez fournir les coordonnées. Vous pouvez également indiquer la ville, le pays et le continent. Vous devez ensuite utiliser le champ Coordonnées dans la clause by.

Voici un exemple qui utilise une instruction eval pour fournir ces valeurs :

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23', 
                                 'Source IP' = '129.146.13.236', '32.72,-96.68', 
                                 null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23',  southfield,
                          'Source Coordinates' = '32.72,-96.68', dallas,
                          null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
       count by 'Source IP', 'Source Coordinates'

utiliser l'instruction eval pour fournir des valeurs de géolocalisation

Spécifier une géolocalisation à l'aide d'une recherche

Au lieu d'utiliser une valeur eval, vous pouvez utiliser une recherche simple ou un dictionnaire pour fournir les valeurs de géolocalisation. Voici un exemple de recherche de dictionnaire :

Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",Dallas

Vous pouvez ensuite utiliser la recherche dans la requête :

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
      count by 'Source IP', 'Source Coordinates'

Reportez-vous à Création d'une recherche de dictionnaire.

Utiliser des couleurs personnalisées dans la carte

Dans la visualisation de carte, vous pouvez utiliser des couleurs personnalisées pour identifier différentes valeurs d'un champ. Le champ doit être inclus dans la section Regrouper par des paramètres. Utilisez la commande highlightgroups après la commande geostats dans la requête pour spécifier des couleurs personnalisées.

Dans l'exemple suivant, le champ Action est inclus dans la section Regrouper par. Par conséquent, la commande geostats est mise à jour avec le champ Action. Ensuite, la requête est modifiée pour ajouter la commande highlightgroups avec la spécification de couleur de sorte que pour des valeurs spécifiques de Action, les couleurs correspondantes soient affichées dans la carte :

Valeur du champ Action Couleur affichée
reject rouge
accept, allow, alert vert
drop bleus

Exemple de requête après les modifications ci-dessus :

'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -Action

Exemple de visualisation de carte lors de l'exécution de la requête ci-dessus :


Exemple de visualisation de carte lors de l'exécution de la requête ci-dessus