cluster
Utilisez cette commande pour regrouper des enregistrements de journal similaires. La commande cluster s'appuie sur l'apprentissage automatique pour regrouper les enregistrements de journal en fonction de leurs similitudes. La création de clusters permet de réduire considérablement le nombre total d'entrées de journal que l'utilisateur doit explorer, et de repérer facilement les valeurs aberrantes. Les entrées de journal regroupées sont présentées sous forme de signatures de message.
Syntaxe
cluster [<cluster_options>]Dans la syntaxe ci-dessus, le format de cluster_options est le suivant :
[similarity=<similarity_value>]Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cluster_options, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Spécifie un seuil qui affecte la sensibilité de l'algorithme aux différences au cours de la création des clusters. Il s'agit d'un nombre compris dans la plage [0.00, 1.00], qui indique le pourcentage du nombre de mots pouvant être différents dans deux messages appartenant au même cluster. Par exemple, la valeur 0.67 indique que, dans un message de 10 mots, 3 différences sont autorisées au maximum. Si la similarité n'est pas spécifiée, la valeur par défaut |
Pour obtenir des exemples d'utilisation de cette commande dans des scénarios standard, reportez-vous aux sections suivantes :
La commande suivante effectue une analyse de cluster sur tous les journaux dont la gravité est Fatal.
Severity = fatal | cluster La commande suivante effectue une analyse de cluster sur tous les journaux dont la gravité est Fatal et renvoie les regroupements récapitulatifs par ordre croissant.
Severity = fatal | cluster | sort Count