Visualizzazione mappa
È possibile utilizzare la visualizzazione Mappa in Oracle Log Analytics per visualizzare i record di log raggruppati in base alla posizione da cui vengono raccolti i log.
Argomenti aggiuntivi:
- Nel pannello Visualizza di Log Explorer selezionare Mappa (
).Viene visualizzata una mappa mondiale in cui i record di log possono essere raggruppati per Client Coordinates, Continente host client, Paese host client, Città host client e Area host client.L'esempio riportato di seguito mostra la mappa in cui vengono raccolti i record di log da 1.195 posizioni.
Sotto la visualizzazione, un'icona di avvertenza insieme al suggerimento indica che sono disponibili più dati di quelli visualizzati. È possibile filtrare i dati disponibili utilizzando uno dei campi disponibili nella sezione Riferito. Ad esempio, nei dati visualizzati sopra, se si applica un filtro per visualizzare i log solo dal continente
Asia, la query viene aggiornata in modo da riflettere la selezione. A tale scopo, fare clic sull'icona Azioni accanto al campo Continente host client nella sezione Riferito, fare clic su Filtro, abilitare la casella di controllo perAsianella finestra di dialogo Continente host client filtro e fare clic su Applica. - Per personalizzare la visualizzazione per lo use case, fare clic sull'icona Opzioni mappa
: -
Mostra mappa colori: per impostazione predefinita, la mappa colori è abilitata. È possibile scegliere di visualizzare la mappa in scala di grigi.
-
Mostra legenda: visualizza il riepilogo delle dimensioni dei record di log e il numero dei gruppi.
-
Colore del punto: selezionare il colore del punto che rappresenta la posizione da cui vengono raccolti i record di log.
-
Combina punti vicini: se il numero di posizioni è elevato e si desidera ridurre il numero di punti, è possibile combinare i punti vicini per semplificare la vista.
-
Colore dei punti combinati: selezionare il colore del punto che rappresenta i punti combinati.
-
Filtro su zoom: se si abilita questa opzione, viene eseguita una nuova query incentrata sull'area selezionata con zoom rettangolare.
-
Abilita rotellina del mouse: utilizzare la rotellina del mouse all'interno dell'area di visualizzazione per ingrandire o ridurre la mappa.
-
- Per concentrare l'analisi su una regione specifica della mappa, fare clic sull'icona Zoom rettangolare
e selezionare l'area di interesse. Quindi la mappa si regola automaticamente per concentrarsi sulla regione. Se è stata abilitata l'opzione Filtra con zoom nelle opzioni di mapping, viene eseguita una nuova query che filtra i record di log nell'area selezionata.
Specificare la posizione geografica mediante il comando geostats
La visualizzazione Mappa utilizza le coordinate di geolocalizzazione per visualizzare i risultati aggregati su una mappa. Queste coordinate vengono integrate durante l'inclusione del log, in base a un campo di indirizzo IP. Tuttavia, non tutti gli indirizzi IP possono avere un campo di coordinate valido. È ora possibile fornire le proprie coordinate se l'arricchimento predefinito non è corretto o se mancano le informazioni.
Usare l'opzione include=custom del comando geostats per specificare i campi che contengono le informazioni di geolocalizzazione. Specificare le coordinate. Facoltativamente, è anche possibile specificare i valori Città, Paese e Continente. Utilizzare quindi il campo Coordinate nella clausola by.
Di seguito è riportato un esempio che utilizza un'istruzione eval per fornire i seguenti valori:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23',
'Source IP' = '129.146.13.236', '32.72,-96.68',
null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23', southfield,
'Source Coordinates' = '32.72,-96.68', dallas,
null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'
Specifica geolocalizzazione mediante ricerca
Invece di utilizzare un eval, è possibile utilizzare una ricerca semplice o di dizionario per fornire i valori di geolocalizzazione. Di seguito è riportato un esempio di ricerca del dizionario:
Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",DallasÈ quindi possibile utilizzare la ricerca nella query:
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates'
count by 'Source IP', 'Source Coordinates'Usa colori personalizzati nella mappa
Nella visualizzazione mappa è possibile utilizzare colori personalizzati per identificare valori diversi di un campo. Il campo deve essere incluso nella sezione Raggruppa per delle impostazioni. Utilizzare il comando highlightgroups dopo il comando geostats nella query per specificare i colori personalizzati.
Nell'esempio seguente, il campo Azione è incluso nella sezione Raggruppa per. Il comando geostats viene quindi aggiornato con il campo Azione. Successivamente, la query viene modificata per aggiungere il comando highlightgroups con la specifica del colore in modo che, per valori specifici di Azione, i colori corrispondenti vengano visualizzati nella mappa:
| Valore del campo Azione | Colore visualizzato |
|---|---|
reject |
rosso |
accept, allow, alert |
verde |
drop |
blu |
Query di esempio dopo aver apportato le modifiche sopra riportate:
'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -ActionVisualizzazione mappa di esempio durante l'esecuzione della query precedente:
