Graphique avec séries temporelles

Vous pouvez générer le graphique de série chronologique en exécutant la commande timestats ou timecluster.

Rubriques :

Les options de graphique suivantes sont disponibles pour personnaliser votre vue de l'analyse des séries temporelles :

Option d'histogramme	Service
Type de graphique :	Sélectionnez l'un des types de visualisation suivants pour afficher les données de groupe : Ligne avec marqueur : la taille des enregistrements de journal par rapport à l'heure est représentée par une ligne symbolisant le marqueur qui traduit la taille. Ligne sans marqueur : la taille des enregistrements de journal par rapport à l'heure est représentée par une ligne symbolisant le nombre qui traduit la taille. Courbes avec aires : semblable à un graphique à courbes, mais la zone entre la ligne et l'axe est recouverte d'une couleur. La zone colorée représente le volume de données. Bande avec zone : cette option est similaire à la ligne avec zone. La région entre la valeur tracée et l'axe des x est colorée et apparaît comme une bande continue le long de l'axe des x. Marqueur uniquement : la taille des enregistrements de journal par rapport à l'heure est représentée par un marqueur. Barres : les enregistrements de journal sont affichés sous forme de colonnes segmentées par rapport à la période. Il s'agit de l'affichage par défaut du graphique. Carte d'activité : ce graphique affiche les valeurs les plus élevées dans des couleurs plus intenses.
Regrouper les graphiques	Aucun : génère un graphique distinct pour chaque fonction de série chronologique. Tout : regroupe les graphiques de chaque fonction de série chronologique dans un seul graphique.
Afficher les éléments empilés	Cette option affiche les graphiques individuels empilés pour aider à comparer les valeurs, relatives ou absolues dans le temps.
Afficher les info-bulles corrélées	Lorsque vous visualisez plusieurs graphiques, vous pouvez désélectionner la case Afficher les info-bulles corrélées pour afficher une seule info-bulle à la fois.
Afficher la légende	Activer/désactiver l'affichage des légendes.
Masquer l'axe des Y	Vous pouvez masquer l'affichage de la variable utilisée pour tracer l'axe des y pour une meilleure visualisation.
Hauteur et Largeur	Vous pouvez modifier la hauteur et la épaisseur du graphique afin d'optimiser la visualisation et d'afficher plusieurs graphiques sur une seule ligne.

Modification des couleurs dans le graphique de séries chronologiques

Pour modifier le jeu de couleurs de la carte d'activité, accédez au menu Paramètres en regard du titre du graphique de série chronologique, puis cliquez sur Palette de couleurs. Vous pouvez également cliquer sur le lien Couleur en regard du graphique et du nom du champ. Sélectionnez les couleurs dans la palette de couleurs.

modifier la palette de couleurs de la carte d'activité

Le graphique de carte d'activité modifie les couleurs de la palette sélectionnée :

Carte de chaleur dans de nouvelles couleurs

Dans le diagramme ci-dessus, vous pouvez remarquer que les valeurs les plus élevées sont faciles à identifier avec l'intensité plus élevée des couleurs.

Utiliser et personnaliser les filtres de séries chronologiques

Accédez à la boîte de dialogue Options de filtre à partir du menu Paramètres en regard du titre du graphique de séries temporelles.

Rubriques :

Activer les filtres

La boîte de dialogue Options de filtre affiche la liste des champs utilisés dans le graphique des statistiques temporelles. Activez la case à cocher Afficher les filtres de recherche. Vous pouvez sélectionner un ou plusieurs champs à afficher dans le panneau Filtre. Exemple de recherche :

*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Entity Type'
| timestats name = 'Entity Types'
            sum(Count) as 'Number of Logs',
            sum('Raw Size (bytes)') as 'Log Size'
        by 'Entity Type'

La boîte de dialogue Options de filtre affiche désormais les champs suivants générés par la commande timestats et les champs utilisés dans la clause by : Type d'entité, Nombre de journaux, Taille de journal.

Dans le panneau Champs, vous pouvez sélectionner un ou plusieurs filtres pour afficher uniquement ces points de données spécifiques. Vous pouvez réinitialiser le filtre en activant/désactivant l'option Tout sélectionner.

Graphique de série chronologique avec filtres de champ

Une fois le filtre activé pour un champ spécifique, pour afficher la liste complète des valeurs d'un champ chaîne, cliquez sur l'icône Paramètres en regard du nom du champ.

Personnaliser les filtres

Accédez à la boîte de dialogue Personnaliser les filtres à partir du menu Paramètres en regard du titre du graphique de séries chronologiques.

Dans le cas des champs numériques, vous pouvez également personnaliser le filtre en cliquant sur l'icône Paramètres en regard du nom du champ numérique. La boîte de dialogue Personnaliser le filtre s'ouvre. Les options Méthode de calcul de plage suivantes sont disponibles :

Par défaut : par défaut, la plage est fixée à un cinquième de la valeur maximale, puis arrondie à 2s, 3s, 4s, 5s ou 10s. Par exemple, si la valeur maximale est 48, la plage est 10. Then the buckets would be calculated as Below 0, Up to 9, 10 - 19, 20 - 29, 30 - 39, 40 - 49, Above 50.
Logarithmique : pour utiliser des plages logarithmiques telles que 1 - 10, 10 - 100 et 1000 - 10000, remplacez la méthode de calcul de plage par logarithmique.
Personnalisé : certains jeux de données nécessitent des plages de variables. Par exemple, considérez l'exigence de bucket CPU Average comme 0 - 30 % en cas de sous-utilisation, 30 - 80 % en cas d'utilisation effective, 80 - 95 % en cas d'avertissement et tout élément supérieur à 95 % en cas d'extrême fin. Pour configurer des plages de variables, vous pouvez indiquer des valeurs séparées par des virgules 30,80,95. Cela permet de créer les buckets 0-30, 30-80, 80-95, 95+.

Vous pouvez éventuellement activer la case à cocher Valeurs de regroupement <= 0 séparément afin de créer un bucket distinct pour les valeurs de champ inférieures ou égales à zéro.

Rechercher dans le filtre

Accédez à la boîte de dialogue Personnaliser les filtres à partir du menu Paramètres en regard du titre du graphique de séries chronologiques.

Pour les champs chaîne, vous pouvez saisir une clé dans le texte pour la recherche. Vous pouvez également fournir des expressions régulières pour la recherche. Par exemple, la recherche de e$ affichera toutes les valeurs de champ se terminant par la lettre e.

Cochez l'option Inverser pour afficher uniquement les valeurs qui ne correspondent pas aux critères.

Utilisation de la commande `timestats` pour tracer une série temporelle

La commande timestats, lorsqu'elle est utilisée après la commande link, fournit des analyses de séries chronologiques supplémentaires et une visualisation enrichie.

Rubriques :

Dans l'exemple suivant avec Journaux de flux de données d'activité d'intégration OCI, la tendance du temps passé est représentée sur la base des champs Action et Intégration :

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timestats name = 'Time Taken Trend' avg('Duration (ms)') as 'Time Taken' by Integration, Action

La tendance du temps passé est représentée sur la base des champs Action et Intégration

Vous pouvez pointer la souris sur n'importe quel point de données pour obtenir les valeurs les plus élevées pour cette période.

Positionnez le pointeur de la souris sur le point de données pour obtenir les valeurs supérieures de cette période.

Pour plus d'informations sur la commande timestats et un cas d'emploi détaillé du tracé de séries temporelles à l'aide de la commande, reportez-vous à timestats et à Time Series Analysis Using timestats Command.

Comprendre la syntaxe des temps de liaison

Dans le cas d'emploi détaillé des séries chronologiques Analyse des séries chronologiques à l'aide de la commande timestats, la requête suivante est utilisée :

'Log Source' = 'OCI VCN Flow Unified Schema Logs' 
| link span=1day Time, Action
| timestats name="Trend of Action" sum(Count) as Records by Action

Certaines parties de la commande timestats dans l'exemple ci-dessus se présentent comme suit :

Vous pouvez utiliser les paramètres suivants dans la syntaxe de commande :

Paramètre	Description
`name`	Titre facultatif du graphique. Si ce n'est pas le cas, le nom de l'axe des Y est utilisé.
`span=<interval>`	Intervalle facultatif, tel que 10min ou 1hour. Les valeurs sont consolidées à cet intervalle à l'aide de la fonction spécifiée. Par défaut, la valeur span spécifiée pour la commande link est utilisée. Le graphique ne s'aligne pas correctement si des étendues différentes sont spécifiées pour les commandes `link` et `timestats`.
`field`	Nom d'un champ d'horodatage pour l'axe des X. Ce champ est facultatif. La valeur par défaut est `Start Time`.
`<function>`	Nom de la fonction. Vous pouvez également utiliser les fonctions associées à la commande `stats` avec la commande `timestats`. Pour plus d'informations sur les fonctions et pour des exemples d'utilisation des fonctions avec la commande, reportez-vous à stats. Pour séparer plusieurs fonctions, utilisez la virgule. Par exemple : `* \| eval 'Raw Size (bytes)' = unit('Raw Size', byte) \| link Time, 'Log Source' \| timestats avg('Raw Size (bytes)') as Size, sum(Count) as Records by 'Log Source'` Chaque fonction crée un graphique. Vous pouvez utiliser l'option de corrélation dans l'interface utilisateur pour corréler visuellement les graphiques.
`as <alias>`	Indiquez un alias facultatif pour chaque série temporelle.
`by <field>`	La fonction est calculée pour chaque valeur distincte du champ spécifié. Vous pouvez spécifier plusieurs champs. Toutes les valeurs par clause d'une fonction donnée sont représentées sur le même graphique. Il y aura plusieurs graphiques si vous avez plus d'une fonction dans votre commande timestats. Remarque : le nombre de champs de regroupement est limité à 4.

Utilisation des champs dans les chronologies de lien

Il existe deux types de champs pouvant être utilisés pour une fonction timestats :

Champ de propriété : tout champ utilisé dans la commande link ou créé à l'aide des commandes stats, eventstats, eval, lookup, nlp ou delta après link.
Champ d'enregistrement de journal : champ défini dans la source de journal et existant dans l'enregistrement de journal. Vous pouvez faire directement référence à ces champs à partir d'une fonction timestats.

Seuls les champs de propriété sont autorisés dans une clause partielle. Les champs volumineux tels que Message, Contenu d'origine, Pile d'erreurs ne sont pas autorisés dans une fonction ou dans une clause partielle.

Création de graphiques pour un sous-ensemble de journaux : utilisez la commande addfields afin de générer des graphiques pour un sous-ensemble de données spécifique. Les champs utilisés dans addfields doivent être un champ de propriété. L'exemple suivant illustre l'utilisation de addfields :

*
| link Time, 'Log Source'
| addfields 
   [ * | where 'Log Source' in ('Linux Audit Logs', 
                                'Linux Secure Logs', 
                                'Linux Syslog Logs', 
                                'Linux Cron Logs') 
       | timestats name = 'Linux Logs' sum(Count) as Records by 'Log Source' 
   ],    [ * | where 'Log Source' not in ('Linux Audit Logs', 
                                          'Linux Secure Logs', 
                                          'Linux Syslog Logs', 
                                          'Linux Cron Logs') 
             | timestats name = 'Non Linux Logs' sum(Count) as Records by 'Log Source' 
   ]

Spécification du nombre de graphiques à renvoyer : utilisez les paramètres topcount ou bottomcount pour indiquer le nombre de graphiques à renvoyer à l'interface utilisateur.

topcount : lors du regroupement par champs, renvoie N nombre de groupes distincts avec les valeurs agrégées les plus élevées.
bottomcount : lors du regroupement par champs, renvoie N nombre de groupes distincts avec les valeurs agrégées les plus petites.

Par exemple :

*
| link Time, 'Log Source'
| timestats topcount = 3 name = 'Top 3 Log Sources by Count'
            sum(Count) as 'Log Records'
        by 'Log Source'
| addfields
     [ * | where 'Log Source' in ('Linux Audit Logs', 'Linux Secure Logs', 'Linux Syslog Logs', 'Linux Cron Logs')
         | timestats bottomcount = 3 name = 'Bottom 3 Linux Logs'
                     sum(Count) as Records
                   by 'Log Source' ]

Les graphiques suivants sont générés suite à l'exécution de la requête ci-dessus :

utiliser les paramètres topcount ou bottomcount pour indiquer le nombre de graphiques

Limites pour les séries chronologiques

Nombre de champs dans la clause by : jusqu'à quatre champs sont autorisés dans la clause by.
Champs autorisés : évitez d'utiliser des champs volumineux dans la fonction et dans la clause by. Les champs Message, Détails supplémentaires, Pile d'erreurs et Contenu du journal d'origine sont des exemples de champs volumineux.
Valeurs NULL : les horodatages alignent les valeurs de la table de liens à l'aide des valeurs de la colonne Heure de début. Par exemple, un champ Durée peut avoir des valeurs uniquement pour 10:06 AM, 10:10 AM et 1:12pm. Dans le cadre de l'alignement, une commande timestats avg(Duration) calcule la moyenne des valeurs 10:06 AM et 10:10 AM en une seule moyenne pour 10:00am. Comme il n'y a pas de valeurs pour 11h et 12h, elles sont remplies de zéros. La valeur 1:12pm est placée à l'intervalle 1 PM.

L'intervalle d'alignement réel dépend de l'intervalle utilisé pour la requête. Un intervalle peut être spécifié explicitement à l'aide du paramètre span.
Nombre de valeurs de série temporelle : seule la commande 100 series per timestats est renvoyée. Voici quelques exemples illustrant cette limite :
- La commande timestats sum(Count) as Records by 'Log Source' renvoie uniquement les 100 principales sources de journal. Les 100 premiers sont identifiés en triant d'abord les valeurs de chaque série temporelle de source de journal, puis en triant ces séries temporelles. Cela signifie que si les enregistrements d'une source de journal contiennent tous les zéros et un seul pic important, cela est inclus dans les résultats renvoyés.
- La commande timestats sum(Count) as Records by 'Log Source', Label renvoie les 100 combinaisons unique principales de la source de journal et de l'étiquette.
Si des résultats partiels sont renvoyés, une icône d'informations en regard de la série temporelle indique le nombre total de séries générées.

Voici quelques-unes des options permettant de gérer un grand nombre de valeurs de séries temporelles :
- Utilisez la commande addfields pour filtrer les valeurs spécifiques à utiliser dans les timestats.
- Utilisez topcount ou bottomcount pour renvoyer les 100 premiers ou les 100 derniers graphiques.
- Utilisez la commande timecluster pour mettre en cluster les séries temporelles. Cela réduit le nombre de dossiers, car seuls les échantillons représentatifs sont renvoyés.

Options de configuration pour les graphiques de séries chronologiques

Comme pour les histogrammes, les options suivantes sont disponibles pour l'exploration à l'aide des graphiques. Cliquez sur l'icône Options de graphique :

Masquer/Afficher les graphiques : vous pouvez masquer ou afficher un graphique.
Sélectionner le type de graphique : vous pouvez choisir parmi différents types de graphique.
Ajuster la hauteur et la largeur du graphique : vous pouvez augmenter la hauteur du graphique à l'aide de l'option Hauteur. Faites glisser la commande Largeur pour augmenter ou diminuer la largeur des graphiques. S'il existe plusieurs fonctions, la réduction de la largeur entraînerait l'affichage d'un plus grand nombre de graphiques sur la même ligne. A pleine largeur, tous les graphiques sont affichés en lignes individuelles. Si vous réduisez la largeur, les dossiers sont organisés dans plusieurs colonnes.
Corrélation entre graphiques : vous pouvez utiliser l'option de graphique Afficher les info-bulles corrélées pour afficher les info-bulles corrélées entre les graphiques.

En outre, vous pouvez utiliser les options suivantes pour configurer vos graphiques :

Contrôle de légende : vous pouvez activer ou désactiver les légendes à l'aide de l'option Afficher la légende des options de graphique.
Filtres de graphique : vous pouvez utiliser les filtres pour analyser de manière interactive les séries temporelles. Activez les filtres en cliquant sur Options de graphique, Filtres et Afficher les filtres de recherche. Les options de filtre affichent la liste des champs utilisés dans le graphique des statistiques temporelles. Vous pouvez sélectionner un ou plusieurs champs à afficher dans le panneau Filtre. Une fois que vous avez sélectionné les options de filtre, les champs générés par la commande timestats ainsi que les champs utilisés dans la clause by sont affichés au-dessus du graphique.

Sélectionnez un ou plusieurs filtres pour afficher uniquement ces points de données spécifiques. Vous pouvez réinitialiser la sélection de filtre en activant/désactivant l'option Tout sélectionner.
Rechercher et personnaliser des filtres : cliquez sur l'icône Options en regard d'un nom de filtre pour afficher la liste complète des valeurs de ce filtre. Vous pouvez saisir le texte à rechercher. Vous pouvez également fournir des expressions régulières pour la recherche. Par exemple, la recherche de e$ affichera tous les résultats qui se terminent par la lettre e.

Cochez l'option Inverser pour afficher uniquement les valeurs qui ne correspondent pas aux critères.
Sélectionner des couleurs : vous pouvez configurer la couleur de chaque série temporelle.

Tenez compte de la requête suivante qui affiche la tendance de chaque élément Status dans les journaux d'audit OCI :
```
Status != null and 'Log Source' = 'OCI Audit Logs'
| link Time, Status
| timestats sum(Count) as 'Number of Hits' by Status
```
Le graphique affiche les valeurs de statut et leur couleur par défaut. Les valeurs du champ Statut sont 200, 201, 404, 409, 204 et 400.

Activez les filtres à l'aide des options de graphique pour afficher l'option de couleur en regard du graphique.

Cliquez sur le lien Couleur, sélectionnez le champ Status et sélectionnez une palette ayant autant de couleurs que de valeurs à configurer.

Mettez à jour chaque expression de couleur avec la valeur ou une expression régulière que vous souhaitez mettre en correspondance.

Vous pouvez répéter ce processus pour chaque champ de la liste déroulante Couleur pour configurer les couleurs.

Utilisation de la commande `timecluster` pour tracer une série temporelle

Vous pouvez regrouper des valeurs de séries temporelles similaires à l'aide de la commande timecluster après la commande link. Le clustering est utile lorsqu'il existe un grand nombre de séries temporelles à analyser ou lorsque vous souhaitez identifier différents comportements dans vos valeurs de séries temporelles.

Rubriques :

Comprendre le fonctionnement de l'outil de génération de rapports

Dans l'exemple suivant, timecluster est utilisé après link pour obtenir des exemples représentatifs de journaux de flux de données d'activité d'intégration OCI. Vous pouvez placer le curseur de la souris sur n'importe quel point de données pour obtenir des détails supplémentaires sur le cluster :

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timecluster name = 'Similar Integrations' avg('Duration (ms)') as 'Time Taken' by Integration, Action

Tracé de séries chronologiques des journaux de flux d'activités d'intégration OCI

Visualisation de clusters individuels à l'aide de filtres : cliquez sur Options de graphique, puis sur Filtres pour activer et visualiser les filtres. Sélectionnez chaque ID de cluster pour afficher les détails de ce cluster.

Comprendre le fonctionnement du lien timecluster

Le clustering examine chaque série temporelle ayant une forme et des valeurs similaires. Voici quelques-unes des caractéristiques utilisées pour regrouper les séries temporelles :

Pics et vallées de la série chronologique : les séries chronologiques avec des pics et des vallées similaires ont tendance à être regroupées.
Valeurs à chaque point : même si deux séries temporelles présentent des pics similaires, elles peuvent tout de même tomber dans des clusters différents, si les valeurs sont éloignées les unes des autres.

Chaque cluster obtient les propriétés suivantes qui sont affichées dans la console :

Propriété	Description
ID de cluster	ID unique pour le cluster
Membres du cluster	Nombre de séries temporelles dans ce cluster
Valeur minimale	Valeur la plus basse pour ce cluster pour l'intervalle sélectionné
Valeur maximale	Valeur la plus élevée pour ce cluster pour l'intervalle sélectionné
Valeur	Valeur de la fonction `stats` indiquée pour ce cluster, pour l'intervalle sélectionné
Pourcentage	Pourcentage de groupes représentés par le nombre de membres dans ce cluster
Echantillon de cluster	Quelques exemples du cluster. Remarque : il peut y avoir plus de valeurs que celles affichées dans l'exemple, car il ne s'agit que d'échantillons présentant un comportement similaire.

La syntaxe et les options de timecluster sont similaires à celles de la commande timestats. Pour comprendre la syntaxe et les options de configuration des graphiques de séries temporelles, reportez-vous à Présentation de la syntaxe des statistiques temporelles de lien et à Options de configuration des graphiques de séries temporelles.

Pour obtenir un exemple de cas d'emploi du tracé d'une série chronologique à l'aide de timecluster, reportez-vous à la section Time Series Clustering.

Documentation Oracle Cloud Infrastructure