Esegui analisi avanzata con confronto cluster

Per generare analisi utili riducendo il numero di cluster solo ai cluster univoci nel periodo di tempo corrente, utilizzare l'opzione Turno temporale. Questa è l'opzione predefinita disponibile con la utility di confronto cluster.

Si consideri che si desidera confrontare i dati di log dell'origine Linux Syslog Logs raccolti nella settimana corrente e nell'ultima settimana.

|========================|========================|
   Baseline Time Range      Current Time Range
<----Use the same query in both the time ranges---->

Selezionare l'intervallo di tempo corrente dal selettore ora come Last 7 days e specificare la query 'Log Source' = 'Linux Syslog Logs' | cluster. Per la utility di confronto cluster, si qualifica come intervallo di tempo corrente e query corrente.

Fare clic su Confronto cluster e notare che la query baseline è uguale alla query corrente. Si noti inoltre che l'intervallo di tempo della baseline è già selezionato per impostazione predefinita, ovvero una settimana prima della settimana corrente. Fare clic su Confronta.

Il riepilogo Confronto cluster viene visualizzato come indicato di seguito.

• 10 cluster sono trovati solo nell'intervallo corrente
• 248 cluster sono trovati solo nell'intervallo di riferimento
• 13 cluster comuni si trovano in entrambi gli intervalli

Utilizzando questi dati, è possibile identificare il problema potenziale univoco nella settimana corrente e trovare una causa principale. Limitare la selezione dei record di log a quelli sono la causa del potenziale problema.

Nota: il valore del turno di lavoro viene sottratto dall'inizio e dalla fine dell'ora corrente. Se il turno di tempo è inferiore alla durata dell'ora corrente, si verificherà una sovrapposizione. In questo modo verranno visualizzati tutti i cluster comuni (duplicati) di quel periodo di sovrapposizione. Quando viene rilevata, verrà visualizzato un messaggio. In tal caso, la query baseline è la stessa della query corrente.

Se si desidera confrontare i dati di log della stessa origine ma su due intervalli di tempo personalizzati, utilizzare l'opzione Tempo personalizzato nella utility di confronto cluster.

Si consideri che si desidera confrontare i dati di log del tipo di entità Host (Linux) raccolti nell'intervallo di tempo corrente nel mese di giugno 2019 e l'intervallo di tempo baseline nel mese di agosto 2016.

|========================|                          |========================|
   Baseline Time Range                                   Current Time Range
<---------------->Use the same query in both the time ranges<---------------->

Selezionare l'intervallo di tempo corrente dal selettore tempo per il periodo da June 1, 2019 12:00 AM a June 27, 2019 8:21 PM e specificare la query 'Entity Type' = 'Host (Linux)' | cluster. Per la utility di confronto cluster, si qualifica come intervallo di tempo corrente e query corrente.

Fare clic su Confronto cluster e notare che la query baseline è uguale alla query corrente. Fare clic sull'icona accanto a Intervallo di tempo di base e selezionare Usa ora personalizzata. Specificare l'intervallo di tempo personalizzato da Aug 15, 2016 12:00 AM a Aug 20, 2016 12:00 AM. Fare clic su Confronta.

Il riepilogo Confronto cluster viene visualizzato come indicato di seguito.

• 278 cluster si trovano solo nell'intervallo corrente
• 7 cluster trovati solo nell'intervallo di baseline
• 4 cluster comuni si trovano in entrambi gli intervalli

Questa analisi consente di confrontare i dati syslog del tipo di entità nei due periodi, eliminare i cluster comuni e visualizzare i cluster univoci. In questo caso, è possibile analizzare l'aumento del numero di potenziali problemi dall'intervallo di baseline all'intervallo di tempo corrente visualizzando i log relativi ai potenziali problemi nell'intervallo di tempo corrente.

Se si desidera confrontare i log di origini diverse nello stesso intervallo di tempo, utilizzare Confronto cluster per ora corrente e selezionare i log da tipi di entità o origini diverse.

Si consideri un caso in cui viene segnalato un errore sul nodo di un'applicazione Rideshare rs_host01 ma non sul nodo rs_host03. Entrambi i nodi possono quindi essere confrontati utilizzando lo stesso intervallo di tempo da Aug 14, 2016, 9:30:00 AM a Aug 20, 2016, 9:30:00 AM per rilevare le variazioni e identificare i problemi che possono quindi essere causati dall'utente root. Entrambi i nodi hanno circa 20.000 record di log da confrontare e analizzare.

|=================================================|
<----Baseline Time Range = Current Time Range----->
<-----------------Baseline Query------------------>
<------------------Current Query------------------>

Selezionare l'intervallo di tempo corrente dal selettore ora come Aug 14, 2016, 9:30:00 AM a Aug 20, 2016, 9:30:00 AM e specificare la query Entity = rs_host01. Per la utility di confronto cluster, si qualifica come intervallo di tempo corrente e query corrente.

Fare clic su Confronto cluster e notare che la query baseline è uguale alla query corrente. Fare clic su e modificare la query baseline in Entity = rs_host03. Per impostazione predefinita, l'intervallo di tempo previsto viene spostato. Fare clic su accanto all'intervallo di tempo previsto e selezionare l'opzione Usa ora corrente. Fare clic su Confronta.

Il riepilogo Confronto cluster viene visualizzato come indicato di seguito.

• 2 cluster sono trovati solo nell'intervallo corrente
• 0 cluster trovati solo nell'intervallo di baseline
• 9 cluster comuni si trovano in entrambi gli intervalli

Si noti che nello stesso intervallo di tempo, i due nodi Rideshare hanno 9 cluster comuni e il nodo rs_host01 ha 2 cluster univoci. Evidentemente, la tabella cluster elenca l'errore irreversibile che ha causato il problema nel nodo analizzato.

Questa analisi elimina la complessità del confronto di 20.000 record da entrambi i nodi rimuovendo i cluster comuni e identificando i cluster univoci con conseguente minor numero di record da analizzare.