Afin de générer des analyses utiles, réduisez le nombre de clusters pour obtenir les clusters uniques dans la période en cours, puis utilisez l'option Changement d'heure. Il s'agit de l'option par défaut disponible avec l'utilitaire de comparaison de clusters.

Nous voulons comparer les données de journal de la source Linux Syslog Logs collectées lors de la semaine en cours et de la semaine précédente.

|========================|========================|
   Baseline Time Range      Current Time Range
<----Use the same query in both the time ranges---->

Sélectionnez la période en cours dans le sélecteur d'heure (Last 7 days) et indiquez la requête 'Log Source' = 'Linux Syslog Logs' | cluster. Pour l'utilitaire de comparaison de clusters, il s'agit de la période en cours et de la requête en cours.

Cliquez sur Comparaison de clusters. Vous pouvez constater que la requête de valeur de référence est identique à la requête en cours. Par ailleurs, la période de valeur de référence est déjà sélectionnée par défaut, soit une semaine avant la semaine en cours. Cliquez sur Comparer.

Le récapitulatif de la comparaison de clusters présente ce qui suit :

• 10 clusters sont présents uniquement dans la plage en cours
• 248 clusters sont présents uniquement dans la plage de valeur de référence
• 13 clusters sont communs aux deux plages

A l'aide de ces données, vous pouvez identifier le seul problème potentiel de la semaine en cours et déterminer sa cause première. Limitez votre sélection d'enregistrements de journal à ceux qui sont à l'origine du problème potentiel.

Remarque : la valeur du changement d'heure est soustraite du début et de la fin de la période en cours. Si le changement d'heure est inférieur à la durée de la période en cours, un chevauchement a lieu. Tous les clusters communs (en double) de cette période de chevauchement sont alors affichés. Un message apparaît lorsque cette situation est détectée. Dans ce cas, la requête de valeur de référence est identique à la requête en cours.

Si vous voulez comparer les données de journal de la même source sur deux périodes personnalisées, utilisez l'option Heure personnalisée dans l'utilitaire de comparaison de clusters.

Nous voulons comparer les données de journal du type d'entité Host (Linux) collectées sur la période en cours du mois de juin 2019 avec la période de valeur de référence du mois d'août 2016.

|========================|                          |========================|
   Baseline Time Range                                   Current Time Range
<---------------->Use the same query in both the time ranges<---------------->

Sélectionnez la période en cours dans le sélecteur d'heure (June 1, 2019 12:00 AM à June 27, 2019 8:21 PM) et indiquez la requête 'Entity Type' = 'Host (Linux)' | cluster. Pour l'utilitaire de comparaison de clusters, il s'agit de la période en cours et de la requête en cours.

Cliquez sur Comparaison de clusters. Vous pouvez constater que la requête de valeur de référence est identique à la requête en cours. Cliquez sur l'icône en regard de Période de valeur de référence et sélectionnez Utiliser l'heure personnalisée. Indiquez la période personnalisée allant de Aug 15, 2016 12:00 AM à Aug 20, 2016 12:00 AM. Cliquez sur Comparer.

Le récapitulatif de la comparaison de clusters présente ce qui suit :

• 278 clusters sont présents uniquement dans la plage en cours
• 7 clusters sont présents uniquement dans la plage de valeur de référence
• 4 clusters sont communs aux deux plages

Cette analyse peut permettre de comparer les données syslog du type d'entité sur les deux périodes, d'éliminer les clusters communs et de visualiser les clusters uniques. Dans ce cas, l'augmentation du nombre de problèmes potentiels de la plage de valeur de référence à la période en cours peut être analysée en consultant les journaux relatifs aux problèmes potentiels de la période en cours.

Si vous voulez comparer les journaux de différentes sources sur la même période, utilisez la comparaison de clusters à l'heure en cours et sélectionnez les journaux de différents types d'entité ou sources.

Prenons une erreur signalée sur le noeud rs_host01 d'une application Rideshare, mais pas sur le noeud rs_host03. Les deux noeuds peuvent ensuite être comparés à l'aide de la même période (Aug 14, 2016, 9:30:00 AM à Aug 20, 2016, 9:30:00 AM) afin de détecter les variations et d'identifier les problèmes, dont la cause première peut ensuite être déterminée. Les deux noeuds comportent environ 20 000 enregistrements de journal à comparer et à analyser.

|=================================================|
<----Baseline Time Range = Current Time Range----->
<-----------------Baseline Query------------------>
<------------------Current Query------------------>

Sélectionnez la période en cours dans le sélecteur d'heure (Aug 14, 2016, 9:30:00 AM à Aug 20, 2016, 9:30:00 AM) et indiquez la requête Entity = rs_host01. Pour l'utilitaire de comparaison de clusters, il s'agit de la période en cours et de la requête en cours.

Cliquez sur Comparaison de clusters. Vous pouvez constater que la requête de valeur de référence est identique à la requête en cours. Cliquez sur et remplacez la requête de valeur de référence par Entity = rs_host03. Par défaut, la période de valeur de référence est soumise au changement d'heure. Cliquez sur en regard de la période de valeur de référence et sélectionnez l'option Utiliser l'heure actuelle. Cliquez sur Comparer.

Le récapitulatif de la comparaison de clusters présente ce qui suit :

• 2 clusters sont présents uniquement dans la plage en cours
• Aucun cluster n'est présent uniquement dans la plage de valeur de référence
• 9 clusters sont communs aux deux plages

Sur la même période, les deux noeuds Rideshare présentent 9 clusters communs et le noeud rs_host01 comporte 2 clusters uniques. La table de cluster répertorie de toute évidence l'erreur fatale à l'origine du problème sur le noeud analysé.

Cette analyse élimine la complexité qu'implique la comparaison de 20 000 enregistrements issus des deux noeuds en enlevant les clusters communs et en identifiant des clusters uniques, ce qui réduit le nombre d'enregistrements à analyser.