マップ・ビジュアル化

Oracle Log Analyticsのマップ・ビジュアライゼーションを使用して、ログの収集元の場所別にグループ化されたログ・レコードを表示できます。

追加トピック:

マップを使用してロケーション・フィールドに基づいてログ・レコードを表示する前に、Oracle定義ソースを使用していない場合は、フィールド・エンリッチメント・オプションを設定して、Oracle Log Analyticsの「管理」ページから、ログ・ソースの市区町村、地域、国、大陸または場所の座標フィールドに移入する必要があります。フィールド・エンリッチメント・オプションの構成を参照してください。

エンティティ・セットのログを検索します。エンティティでのログの検索を参照してください。
ログ・エクスプローラで、「ビジュアル化」パネルから「マップ」()を選択します。
これにより、ログ・レコードを「Client Coordinates」、「Client Host Continent」、「Client Host Country」、「Client Host City」および「Client Host Region」でグループ化して、世界地図に表示されます。
次の例は、ログ・レコードが1,195の場所から収集されるマップを示しています。

ビジュアライゼーションの下にある警告アイコンとヒントは、表示されているデータよりも多くのデータが使用可能であることを示します。「参照」セクションのフィールドの1つを使用して、使用可能なデータをフィルタできます。たとえば、上記の表示データで、大陸Asiaからのログのみを表示するフィルタを適用すると、問合せは選択内容を反映するように更新されます。これを行うには、「参照」セクションの「クライアント・ホスト大陸」フィールドの横にある「アクション」アイコンをクリックし、「フィルタ」をクリックして、「クライアント・ホスト大陸のフィルタ」ダイアログ・ボックスでAsiaのチェック・ボックスを有効にし、「適用」をクリックします。
ユース・ケースのビジュアライゼーションをカスタマイズするには、「マップ・オプション」アイコンをクリックします:
- カラー・マップの表示: デフォルトでは、カラー・マップが有効になっています。グレースケールマップの表示を選択できます。
- 凡例の表示: ログ・レコード・サイズのサマリーとグループ数が表示されます。
- 点の色: ログ・レコードの収集元となる場所を表す点の色を選択します。
- 近くの点を結合: 場所の数が多く、ポイント数を減らす場合は、近くのポイントを組み合せてビューを簡略化できます。
- 結合点の色: 結合点を表す点の色を選択します。
- ズームでのフィルタ: このオプションを有効にすると、長方形のズームで選択した領域にフォーカスした新しい問合せが実行されます。
- ムースホイールの有効化: ビジュアライゼーション領域内のムースホイールを使用して、マップのズーム・インまたはズーム・アウトを行います。
分析をマップの特定のリージョンにフォーカスするには、長方形のズーム・アイコンをクリックし、目的の領域を選択します。その後、マップは自動的にリージョンにフォーカスするように調整されます。マップ・オプションで「ズーム時にフィルタ」オプションを有効にした場合は、選択した領域のログ・レコードをフィルタする新しい問合せが実行されます。

`geostats`コマンドを使用したジオロケーションの指定

マップ・ビジュアライゼーションでは、ジオロケーション座標を使用して、マップに集計結果が表示されます。これらの座標は、IPアドレス・フィールドに基づいて、ログの取込み中にエンリッチされます。ただし、すべてのIPアドレスに有効な座標フィールドがあるとはかぎりません。デフォルトのエンリッチメントが正しくないか、情報が欠落している場合に、独自の座標を指定できるようになりました。

ジオロケーション情報を含むフィールドを指定するには、geostatsコマンドの include=customオプションを使用します。「座標」を指定する必要があります。オプションで、「市区町村」、「国」および「大陸」を指定することもできます。次に、by句の「座標」フィールドを使用する必要があります。

次に、eval文を使用してこれらの値を指定する例を示します。

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23', 
                                 'Source IP' = '129.146.13.236', '32.72,-96.68', 
                                 null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23',  southfield,
                          'Source Coordinates' = '32.72,-96.68', dallas,
                          null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
       count by 'Source IP', 'Source Coordinates'

ルックアップを使用したジオロケーションの指定

evalを使用するかわりに、単純な参照またはディクショナリ参照を使用してジオロケーション値を指定できます。次に、ディクショナリ検索の例を示します。

Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",Dallas

その後、問合せで参照を使用できます。

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
      count by 'Source IP', 'Source Coordinates'

ディクショナリ・ルックアップの作成を参照してください。

マップでのカスタム色の使用

マップ・ビジュアライゼーションでは、カスタム色を使用してフィールドの様々な値を識別できます。フィールドは、設定の「グループ化基準」セクションに含まれている必要があります。カスタム色を指定するには、問合せでgeostatsコマンドの後にhighlightgroupsコマンドを使用します。

次の例では、「アクション」フィールドが「グループ化基準」セクションに含まれています。その結果、geostatsコマンドが「アクション」フィールドで更新されます。次に、問合せを編集して、「アクション」の特定の値に対応する色がマップに表示されるように、色指定を指定してhighlightgroupsコマンドを追加します。

「Action」フィールドの値	表示色
`reject`	赤
`accept`, `allow`, `alert`	緑色
`drop`	青

前述の変更後の問合せの例:

'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -Action

前述の問合せの実行時のマップ・ビジュアライゼーションの例:

Oracle Cloud Infrastructureドキュメント