Secteurs : un graphique à secteurs présente la composition globale d'un ensemble de données en encodant les valeurs de pourcentage sous forme d'angles.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Représentation circulaire du nombre d'enregistrements de journal regroupés selon le paramètre d'entrée.

Comparez les grands groupes du cercle indiquant des pourcentages du total de l'ensemble de données. Par exemple, comparez les pourcentages des nombres d'enregistrements de journal de différentes sources.

Description de l'image pie_tile.png

Barres : le nombre d'enregistrements de journal est affiché sous forme de colonnes segmentées par rapport à la période.

Champ Axe des X par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Fournissez également un deuxième paramètre dans la section Regrouper par pour afficher un graphique à barres colorées et empilées.

Graphique à barres : paramètre d'entrée représenté sur l'axe des X sous forme de colonnes segmentées, la hauteur de la colonne reflétant le nombre.

Graphique à barres empilées : le paramètre d'entrée clé est regroupé selon le deuxième paramètre et représenté sous forme de graphique à barres empilées sur l'axe des X. La hauteur globale de la colonne reflète le nombre. L'empilement coloré représente le regroupement.

Graphique à barres : comparez la taille des colonnes segmentées pour comparer le nombre d'enregistrements de journal en fonction du paramètre d'entrée. Par exemple, comparez le nombre d'enregistrements de journal de chaque source.

Graphique à barres empilées : ici, vous pouvez non seulement comparer le nombre de valeurs du paramètre d'entrée, mais également observer le regroupement en fonction du second paramètre. Dans l'exemple suivant, le nombre d'enregistrements de journal des sources est reflété par la hauteur globale des colonnes segmentées. Les enregistrements de journal de chaque colonne sont regroupés en fonction de la gravité des erreurs y figurant.

Description de l'image bar_tile.png

Reportez-vous à Visualisation avec graphiques à barres.

Barres horizontales : le nombre d'enregistrements de journal est affiché sous forme de lignes segmentées par rapport à la période.

Champ Axe des Y par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Un paramètre, par exemple Log Source. Fournissez également un deuxième paramètre dans la section Regrouper par pour afficher un graphique à barres horizontales colorées et empilées.

Graphique à barres horizontales : paramètre d'entrée représenté sur l'axe des X sous forme de colonnes segmentées, la largeur de la ligne reflétant le nombre.

Graphique à barres horizontales empilées : le paramètre d'entrée clé est regroupé selon le deuxième paramètre et représenté sous forme de graphique à barres empilées sur l'axe des Y. La largeur globale de la ligne reflète le nombre. L'empilement coloré représente le regroupement.

Graphique à barres horizontales : comparez la taille des lignes segmentées pour comparer le nombre d'enregistrements de journal en fonction du paramètre d'entrée. Par exemple, comparez le nombre d'enregistrements de journal de chaque source.

Graphique à barres horizontales empilées : ici, vous pouvez non seulement comparer le nombre de valeurs du paramètre d'entrée, mais également observer le regroupement en fonction du second paramètre. Dans l'exemple suivant, le nombre d'enregistrements de journal des sources est reflété par la largeur globale des lignes segmentées. Les enregistrements de journal de chaque ligne sont regroupés en fonction du type d'entité.

Description de l'image horbar_tile.png

Mettre en correspondance : la répartition géographique des enregistrements de journal est affichée sur la carte du monde en fonction de l'emplacement à partir duquel les enregistrements de journal sont collectés.

Champs par défaut référencés : Client Host City, Client Host Region, Client Host Country, Client Host Continent et Client Coordinates.

Répartition géographique du nombre d'enregistrements de journal en fonction du paramètre géographique d'entrée.

Comparez le nombre d'enregistrements de journal en fonction de leur répartition géographique.

Reportez-vous à Visualisation de carte.

Courbes : le nombre d'enregistrements de journal par rapport à l'heure est représenté par une courbe symbolisant ce nombre.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Courbe tracée qui présente le nombre associé au paramètre d'entrée sur l'axe des Y par rapport à la chronologie sur l'axe des X.

Comparez le nombre d'enregistrements de journal en fonction du paramètre d'entrée représenté par des courbes distinctes tracées au fil du temps. Dans l'exemple suivant, le nombre d'enregistrements de journal de diverses sources de journal est représenté par rapport au temps grâce aux différentes courbes.

Description de l'image line_tile.png

Reportez-vous à Visualisation avec graphiques à courbes.

Nuage de mots : l'ensemble de données est représenté par un ensemble de mosaïques de mots, dont la taille reflète le nombre d'enregistrements de journal dans chaque groupe et les couleurs indiquent le regroupement.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Fournissez également un deuxième paramètre dans la section Couleur pour affiner le regroupement dans l'ensemble de données. Par exemple : Entity Type.

Nuage de mots où la taille de la mosaïque de mots représente le nombre. De plus, lorsque vous fournissez un deuxième paramètre d'entrée, vous obtenez un nuage de mots coloré dans lequel les mots sont regroupés en fonction du deuxième paramètre. Les groupes sont représentés par des couleurs.

Comparez le nombre d'enregistrements de journal en fonction de la taille des mosaïques de mots qui représentent le paramètre d'entrée. Si vous avez fourni un deuxième paramètre, vous pouvez également visualiser le regroupement par couleur des mosaïques de mots. Dans l'exemple suivant, la taille des mosaïques de mots représente le nombre d'enregistrements de journal de chaque source. La couleur des mosaïques de mots indique le type d'entité de chaque groupe.

Description de l'image wordcloud_tile.png

Reportez-vous à Visualisation en nuage de mots.

Carte d'activité : la carte d'activité facilite la visualisation d'autres valeurs, telles que le nombre ou l'utilisation par rapport au temps.

Champ Regrouper par par défaut : Log Source. Vous pouvez éventuellement modifier ce paramètre.

Le temps est tracé le long de l'axe des Y du graphique. Le long de l'axe des X, le champ qui constitue l'entrée de la commande timestats est tracé, par exemple, Source de journal. Chaque rectangle le long d'une ligne représente le nombre d'enregistrements de journal pour un intervalle de temps. La couleur du rectangle représente la plage dans laquelle le nombre appartient. Les plages sont affichées en haut du graphique.

Les rectangles de différentes couleurs représentent des valeurs au fil du temps, ce qui vous permet de repérer rapidement les zones susceptibles de vous intéresser ou de vous préoccuper.

Reportez-vous à Visualisation de carte de chaleur.

Table récapitulative

Valeur par défaut : count

Vous pouvez éventuellement sélectionner une autre fonction mathématique à exécuter sur l'ensemble de données. Par exemple : Percentile, Median ou Average.

Champ Regrouper par par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'affiner le regroupement dans l'ensemble de données.

La table récapitulative est le graphique de visualisation le plus polyvalent, avec des possibilités d'analyse statistique sur tout type de données d'entrée. Elle autorise également plusieurs paramètres d'entrée dans la section Regrouper par, permettant ainsi des déductions plus complexes de l'analyse.

• Effectuez une analyse statistique sur l'intégralité de l'ensemble de données.

• Sélectionnez les champs pour l'analyse statistique afin de vous aider à comprendre l'ensemble de données.

• Appliquez un regroupement à l'analyse statistique pour corréler les résultats.

Reportez-vous à Tables récapitulatives.

Enregistrements

Valeur par défaut : Entity, Entity Type, Log Source, Host Name (Server), Problem Priority et Label.

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée à afficher dans le graphique.

• Affichez le contenu de journal d'origine pour comprendre et corréler les valeurs des champs d'affichage.

• Affichez le contenu de journal correspondant à une heure de collecte de journal spécifique.

Table

Valeur par défaut : Entity, Entity Type, Log Source, Host Name (Server), Problem Priority et Label.

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée à afficher dans la table.

• Définissez l'ordre de priorité et sélectionnez les champs à afficher dans le tableau pour vous aider à prendre vos décisions.

• Filtrez le contenu de journal et affichez uniquement les données de chaque enregistrement de journal qui vous intéressent.

Distinct

Valeur par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée à afficher dans la table.

• Identifiez les valeurs uniques des champs dans les données de journal.

• Identifiez les groupes de champs uniques dans les données de journal.

Enregistrements avec histogramme

• Réduisez la taille de l'ensemble de données à comprendre et à analyser en regroupant les enregistrements de journal dans l'histogramme et en effectuant une analyse descendante vers des enregistrements de journal spécifiques. Vous pouvez cliquer sur un segment particulier dans l'histogramme pour effectuer une analyse descendante vers un ensemble spécifique d'enregistrements de journal et afficher le contenu de journal d'origine.

• La combinaison de l'histogramme et du graphique d'enregistrements permet d'effectuer une analyse descendante plus rapidement vers le contenu de journal concerné.

Table avec histogramme

• Utilisez un champ approprié pour regrouper les enregistrements de journal dans la visualisation d'histogramme. A partir de l'histogramme, identifiez l'ensemble de données dont vous souhaitez consulter les détails de champ et visualisez-le dans la table.

• La combinaison histogramme/table permet d'effectuer une analyse descendante plus rapidement vers l'ensemble de données concerné.

Sunburst

Valeur par défaut : count

Vous pouvez éventuellement sélectionner un autre champ afin que le nombre associé contribue à générer le graphique sunburst.

Champ Regrouper par par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'affiner le regroupement dans l'ensemble de données. Par exemple : Entity Type et Entity.

Par défaut, graphique sunburst qui représente les enregistrements de journal regroupés selon le paramètre par défaut. La taille des secteurs du cercle indique le nombre d'enregistrements de journal dans l'ensemble de données concerné. Si vous avez spécifié d'autres champs pour le regroupement, vous obtenez un graphique sunburst concentrique, l'anneau le plus à l'intérieur représentant le premier calcul de regroupement, et les anneaux successifs représentant les calculs suivants, dans l'ordre.

Utilisez la visualisation sunburst pour analyser les données hiérarchiques de plusieurs champs. La hiérarchie est représentée sous forme d'anneaux concentriques, l'anneau le plus interne représentant le sommet de la hiérarchie.

Dans l'exemple suivant, les enregistrements de journal sont regroupés selon les champs Log Source, Entity Type et Entity. Cliquez sur un segment afin d'afficher la visualisation Enregistrements avec histogramme pour l'ensemble de données. Le graphique d'enregistrements répertorie le contenu de journal d'origine en mettant en avant les champs d'affichage par défaut.

Description de l'image sunburst_tile.png

Treemap

Valeur par défaut : count

Vous pouvez éventuellement sélectionner un autre champ afin que le nombre associé contribue à générer le graphique treemap.

Champ Regrouper par par défaut : Log Source

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'affiner le regroupement dans l'ensemble de données.

Graphique treemap qui représente les enregistrements de journal regroupés selon le paramètre par défaut. La taille des rectangles indique le nombre d'enregistrements de journal dans l'ensemble de données concerné. Si vous avez spécifié d'autres champs pour le regroupement, vous obtenez un graphique treemap imbriqué qui regroupe les enregistrements de journal en fonction de tous les paramètres indiqués. Le graphique treemap imbriqué présente également la relation fractionnaire des champs de chaque ensemble de données.

Utilisez la visualisation treemap pour analyser les données de plusieurs champs à la fois hiérarchiques et fractionnaires, à l'aide de rectangles imbriqués interactifs.

Dans l'exemple suivant, les enregistrements de journal sont regroupés selon le champ Log Source. Cliquez sur un rectangle afin d'afficher la visualisation Enregistrements avec histogramme pour l'ensemble de données. Le graphique d'enregistrements répertorie le contenu de journal d'origine en mettant en avant les champs d'affichage par défaut.

Description de l'image treemap_tile.png

L'arborescence est triée numériquement par nombre, mais vous pouvez également trier les données par ordre alphabétique. Par exemple :

'Log Source' = 'EBS Concurrent Request Logs' | stats distinctcount(Program) as pgm by Application, Program | sort Application, Program

ou

'Problem Priority' != null | stats distinctcount('Problem Priority') as prio by 'Log Source', 'Problem Priority'

Cluster

La visualisation de cluster s'appuie sur l'intégralité de l'ensemble de données ; elle n'est pas basée sur un paramètre spécifique.

La vue de cluster affiche une bannière récapitulative en haut, avec les onglets suivants :

• Nombre total de clusters : nombre total de clusters pour les enregistrements de journal sélectionnés.

• Problèmes potentiels : nombre de clusters avec des problèmes potentiels en fonction des enregistrements de journal contenant des mots tels qu'erreur, fatal, exception, etc.

• Valeurs aberrantes : nombre de clusters présents une seule fois sur une période donnée.

• Tendances : nombre de tendances uniques au cours de la période. La même tendance peut s'appliquer à de nombreux clusters. Par conséquent, si vous cliquez sur ce panneau, un cluster est affiché à partir de chacune des tendances.

La création de clusters s'appuie sur l'apprentissage automatique pour identifier le modèle d'enregistrements de journal, puis regrouper les journaux présentant un modèle similaire. Vous pouvez approfondir votre examen dans chacun des onglets en fonction de vos besoins. Lorsque vous cliquez sur l'un des onglets, la vue d'histogramme du cluster change et affiche les enregistrements de l'onglet sélectionné.

La création de clusters permet de réduire considérablement le nombre total d'entrées de journal que vous devez explorer, et de repérer facilement les valeurs aberrantes. Reportez-vous à Visualisation avec clusters.

Lien

Champ Regrouper par par défaut : Log Source.

Vous pouvez éventuellement sélectionner d'autres paramètres d'entrée pour la section Regrouper par afin d'obtenir un regroupement plus pertinent sur l'ensemble de données. Vous pouvez également sélectionner des paramètres supplémentaires pour la section Valeur.

• L'onglet Groupes affiche un graphique à bulles représentant les groupes formés avec les champs utilisés pour la liaison dans les plages courantes. Le champ Regrouper par est représenté sur l'axe des X et la durée du groupe est représentée sur l'axe des Y. La taille de chaque bulle du graphique est déterminée par le nombre de groupes associés à cette bulle.

  Tendances : projetez les données de série temporelle à l'aide de la fonctionnalité de tendance de lien.

• L'onglet d'histogramme affiche les enregistrements de journal ou les groupes dans la visualisation d'histogramme.

La table des groupes répertorie les paramètres tels que Source de journal, Type d'entité, Entité, Nombre, Heure de début, Heure de fin et Durée du groupe pour chaque groupe. Si vous avez spécifié d'autres champs d'affichage, ils sont également inclus dans la table.

Utilisez la visualisation de lien pour effectuer une analyse avancée des enregistrements de journal en combinant des enregistrements de journal individuels de différentes sources dans des groupes, en fonction des champs sélectionnés pour la liaison.

Le graphique à bulles affiche les anomalies dans les modèles à partir de l'analyse des groupes. Pour examiner plus précisément les anomalies, cliquez sur une bulle spécifique ou sélectionnez plusieurs bulles. Pour afficher les détails des groupes correspondant à l'anomalie, sélectionnez la bulle d'anomalie dans le graphique. Vous pouvez examiner l'anomalie pour identifier et corriger les problèmes. Reportez-vous à Visualisation de lien.

Pour consulter des exemples de cas d'emploi de la visualisation de lien, reportez-vous à Exécution d'analyses avancées avec Lien.

Lien par cluster

Sélectionnez cluster() afin de regrouper les données de journal à l'aide de la section de requête et du paramètre d'entrée de la section Regrouper par pour un regroupement plus pertinent des données de journal.

L'onglet Groupes affiche un graphique à bulles représentant les groupes formés avec le champ sélectionné et les clusters utilisés pour la liaison dans les plages courantes. Le champ Regrouper par est représenté sur l'axe des X et la durée du groupe est représentée sur l'axe des Y.

La table des groupes répertorie les paramètres tels que Type d'entité, Echantillon de cluster, Nombre, Heure de début, Heure de fin et Durée du groupe pour chaque groupe. Si vous avez spécifié d'autres champs d'affichage, ils sont également inclus dans la table.

Utilisez la combinaison des visualisations de lien et de cluster pour effectuer cette analyse. La capacité de l'apprentissage automatique de la visualisation de cluster à identifier les clusters et les problèmes potentiels et celle de la visualisation de lien à regrouper les enregistrements de journal en fonction de la sélection de champs sont combinées pour affiner l'analyse sur de petits groupes d'anomalies ou sur moins de problèmes potentiels.

Vous pouvez affiner la requête et spécifier plus précisément la sortie requise dans le graphique à bulles. L'analyse génère des clusters regroupés en fonction du champ sélectionné pour l'analyse. Vous pouvez examiner plus en détail les anomalies afin de parvenir à des décisions concluantes à partir de l'analyse.

Reportez-vous à Lien par cluster.

Incidents

• Sélectionnez la période de référence qui regroupe le mieux l'ensemble de journaux standard généré par votre système.

• Sélectionnez la plage horaire pour l'analyse qui contient les journaux qui vous intéressent pour l'analyse.

La sortie correspond à l'ensemble des nouveaux problèmes identifiés dans vos journaux dans la période sélectionnée qui ne sont pas présents dans la période de référence.

En outre, la visualisation affiche également les nouvelles valeurs aberrantes et récapitule le nombre d'enregistrements de journal utilisés dans l'analyse, le nombre total de clusters uniques identifiés et le nombre de sources de journal dans lesquelles des problèmes ont été détectés.

La visualisation Problèmes utilise l'utilitaire clustercompare pour regrouper les journaux dans les plages de temps spécifiées, enlever les clusters communs, puis générer un ensemble unique de clusters à partir duquel les nouveaux problèmes sont identifiés.

Cette visualisation est idéale si vous disposez d'un ensemble de journaux de référence sélectionné que vous souhaitez comparer à d'autres journaux pour pouvoir détecter de nouveaux problèmes.

Pour la période de référence, sélectionnez la période qui capture l'intégralité du cycle de génération de journal. Une plage de référence plus longue peut prolonger le temps d'exécution de la requête.

La période d'analyse doit également être sélectionnée de sorte que le temps d'interrogation soit court et qu'il soit facile d'identifier les problèmes.

Reportez-vous à Visualisation des problèmes.