Visualisation de carte
Vous pouvez utiliser la visualisation de carte dans Oracle Log Analytics pour afficher les enregistrements de journal regroupés par emplacement à partir duquel les journaux sont collectés.
Rubriques supplémentaires :
Indiquer la géolocalisation à l'aide de la commande geostats
La visualisation de carte utilise les coordonnées de géolocalisation pour afficher les résultats agrégés sur une carte. Ces coordonnées sont enrichies lors de l'assimilation des journaux, en fonction d'un champ d'adresse IP. Cependant, toutes les adresses IP peuvent ne pas avoir de champ de coordonnées valide. Vous pouvez désormais fournir vos propres coordonnées lorsque l'enrichissement par défaut est incorrect ou que les informations sont manquantes.
Utilisez l'option include=custom
pour la commande geostats afin de spécifier les champs contenant les informations de géolocalisation. Vous devez fournir les coordonnées. Vous pouvez également indiquer la ville, le pays et le continent. Vous devez ensuite utiliser le champ Coordonnées dans la clause by
.
Voici un exemple qui utilise une instruction eval
pour fournir ces valeurs :
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23',
'Source IP' = '129.146.13.236', '32.72,-96.68',
null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23', southfield,
'Source Coordinates' = '32.72,-96.68', dallas,
null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'

Spécifier une géolocalisation à l'aide d'une recherche
Au lieu d'utiliser une valeur eval
, vous pouvez utiliser une recherche simple ou un dictionnaire pour fournir les valeurs de géolocalisation. Voici un exemple de recherche de dictionnaire :
Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",Dallas
Vous pouvez ensuite utiliser la recherche dans la requête :
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'
Reportez-vous à Création d'une recherche de dictionnaire.
Utiliser des couleurs personnalisées dans la carte
Dans la visualisation de carte, vous pouvez utiliser des couleurs personnalisées pour identifier différentes valeurs d'un champ. Le champ doit être inclus dans la section Regrouper par des paramètres. Utilisez la commande highlightgroups
après la commande geostats
dans la requête pour spécifier des couleurs personnalisées.
Dans l'exemple suivant, le champ Action est inclus dans la section Regrouper par. Par conséquent, la commande geostats
est mise à jour avec le champ Action. Ensuite, la requête est modifiée pour ajouter la commande highlightgroups
avec la spécification de couleur de sorte que pour des valeurs spécifiques de Action, les couleurs correspondantes soient affichées dans la carte :
Valeur du champ Action | Couleur affichée |
---|---|
reject |
rouge |
accept , allow , alert |
vert |
drop |
bleus |
Exemple de requête après les modifications ci-dessus :
'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -Action
Exemple de visualisation de carte lors de l'exécution de la requête ci-dessus :
