Vous pouvez combiner les fonctionnalités de lien et de cluster afin de classer les clusters pour un champ spécifique. Vous pouvez identifier les entités ou les types d'entité avec le plus de problèmes potentiels, et visualiser tous les modèles ou anomalies dans ces entités.

A l'aide des clusters, vous pouvez analyser un vaste ensemble d'enregistrements de journal et identifier les problèmes potentiels. Avec la fonctionnalité Lien par cluster, vous pouvez regrouper les enregistrements de journal par cluster et identifier les problèmes potentiels en fonction du champ sélectionné pour analyse. Par exemple, si vous voulez regrouper les clusters en fonction de l'entité, du type d'entité ou de la source de journal, vous pouvez utiliser Lien par cluster.

Dans l'exemple suivant, les enregistrements de journal du type d'entité Host (Linux) sont analysés avec les fonctionnalités de lien et de cluster en incluant * | link 'Entity Type', cluster() dans la requête. La requête complète utilisée pour l'analyse est la suivante :

* | link 'Entity Type', cluster() | where 'Potential Issue' != null | fields -'Potential Issue' | where Count = 45 and 'Entity Type' = literal("Host(Linux)"))

Tout d'abord, la commande cluster est exécutée sur la chaîne de recherche, ici *, qui génère un champ appelé Echantillon de cluster. Ce champ est lié au type d'entité afin de regrouper tous les clusters par type d'entité. La clause where indique de rechercher uniquement les problèmes potentiels. Tous les problèmes potentiels sont donc à présent regroupés par type d'entité. Comme vous pouvez le voir dans le graphique à bulles, environ 45 problèmes potentiels sont liés au type d'entité Hôte (Linux).

La table des groupes affiche les détails de l'échantillon de cluster correspondant au groupe en anomalie. Notez le contenu de journal de l'échantillon de cluster disponible dans la table, qui peut être à l'origine du problème potentiel : detected unhandled Python exception.

Suivez le lien Analyser les problèmes potentiels par type d'entité pour consulter l'exemple de commande à utiliser dans votre environnement. Cliquez sur Plus pour obtenir d'autres exemples de commande que vous pouvez utiliser :

• Problèmes potentiels par entité
• Valeurs aberrantes de problème potentiel par entité
• Valeurs aberrantes de problème potentiel par type d'entité
• Problèmes potentiels par entité et par gravité

Dans l'exemple Valeurs aberrantes de problème potentiel, la requête est semblable à l'exemple abordé ici, mais une autre clause where est ajoutée (where 'Potential Issue' != null and count = 1) pour identifier toutes les erreurs survenues une seule fois au cours de la période. Toutefois, les échantillons de cluster affichent toujours les variables, mais les variables apparaissant dans le lien ne peuvent pas faire l'objet d'une analyse descendante.

Pour plus d'informations sur la visualisation de lien et sur les étapes permettant d'accéder au lien à partir du panneau Visualiser, reportez-vous à Visualisation de lien.