時系列グラフ

時系列チャートは、timestatsまたはtimeclusterコマンドを実行して生成できます。

トピック:

次のチャート・オプションを使用して、時系列分析のビューをカスタマイズできます。

ヒストグラム・チャート・オプション	ユーティリティ
チャート・タイプ	次のタイプのビジュアライゼーションから選択して、グループ・データを表示します: マーカー付き折れ線: 特定の時間に対するログ・レコードのサイズが、サイズを表すマーカーをトレースした線でプロットされます。マーカーなし折れ線: 特定の時間に対するログ・レコードのサイズが、サイズを表す数値をトレースした線でプロットされます。面付き折れ線: これは、折れ線グラフと似ていますが、線と軸の間の面が色で覆われます。色付きの面は、データの量を表します。領域のあるバンド: これは領域のあるラインに似ています。プロットされた値とX軸の間の領域が色付けされ、X軸に沿って連続バンドとして表示されます。マーカーのみ: 特定の時間に対するログ・レコードのサイズがマーカーで表されます。棒: ログ・レコードが、期間に対してセグメント化された列として表示されます。これは、デフォルトの表示チャートです。ヒート・マップ: このチャートには、より強い色で高い値が表示されます。
グラフのグループ化	なし: 時系列関数ごとに個別のチャートを生成します。すべて: 各時系列関数のチャートを1つのチャートにグループ化します。
積上げの表示	このオプションは、時間の経過に伴う相対値または絶対値の比較に役立つように積み重ねられた個々のチャートを表示します。
関連するツールチップの表示	複数のチャートを表示する場合は、「関連するツールチップの表示」チェック・ボックスの選択を解除すると、一度に1つのツールチップのみを表示できます。
凡例の表示	凡例の表示を切替えます。
Y軸の非表示	Y軸のプロットに使用される変数の表示を非表示にして、ビジュアライゼーションを改善できます。
高さおよび幅	チャートの「高さ」および「幅」を変更して、ビジュアライゼーションを最適化し、1つの線に複数のチャートを表示できます。

時系列チャートの色の変更

ヒート・マップの色スキームを変更するには、時系列チャートのタイトルの横にある「設定」メニューから、「カラー・パレット」をクリックします。または、チャートとフィールド名の横にある「色」リンクをクリックします。カラーパレットで色を選択します。

ヒート・マップ・チャートは、選択したパレットに色を変更します。

上の図では、高い値が高い色の強度で識別しやすいことがわかります。

時系列フィルタの使用およびカスタマイズ

時系列チャートのタイトルの横にある設定メニューから、「フィルタ・オプション」ダイアログ・ボックスにアクセスします。

トピック:

フィルタの有効化

「フィルタ・オプション」ダイアログ・ボックスには、タイムシート・チャートで使用されるフィールドのリストが表示されます。「検索フィルタの表示」チェック・ボックスを有効にします。「フィルタ」パネルに表示する1つ以上のフィールドを選択できます。たとえば、次のような検索を行うとします。

*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Entity Type'
| timestats name = 'Entity Types'
            sum(Count) as 'Number of Logs',
            sum('Raw Size (bytes)') as 'Log Size'
        by 'Entity Type'

「フィルタ・オプション」ダイアログ・ボックスに、timestatsコマンドによって生成された次のフィールドと、by句で使用されるフィールド(「エンティティ・タイプ」、「ログ数」、「ログ・サイズ」)が表示されるようになりました。

フィールド・パネルでは、1つ以上のフィルタを選択して、それらの特定のデータ・ポイントのみを表示できます。「すべて選択」オプションを切り替えることで、フィルタをリセットできます。

特定のフィールドでフィルタを有効にした後、stringフィールドの値の完全なリストを表示するには、フィールド名の横にある設定アイコンをクリックします。

フィルタのカスタマイズ

時系列チャートのタイトルの横にある設定メニューから、「フィルタのカスタマイズ」ダイアログ・ボックスにアクセスします。

数値フィールドの場合、数値フィールド名の横にある設定アイコンをクリックして、フィルタをカスタマイズすることもできます。「フィルタのカスタマイズ」ダイアログ・ボックスが開きます。次の「範囲計算方法」オプションを使用できます:

デフォルト: デフォルトでは、範囲は最大値の5分の1に固定され、2s、3s、4s、5sまたは10sに丸められます。たとえば、最大値が48の場合、範囲は10になります。Then the buckets would be calculated as Below 0, Up to 9, 10 - 19, 20 - 29, 30 - 39, 40 - 49, Above 50.
対数: 1から10、10から100、1000から10000などの対数範囲を使用するには、範囲計算方法を対数に変更します。
カスタム: 特定のデータ・セットには変数範囲が必要です。たとえば、使用率が低い場合はCPU平均を0 - 30%、有効な使用率の場合は30 - 80%、警告の場合は80 - 95%、95%を超える場合は極端な終了であるとします。この変数範囲を構成するには、カンマ区切りの値30,80,95を指定します。これにより、バケット0-30、30-80、80-95、95+が作成されます。

オプションで、「バケット値<= 0」チェック・ボックスを有効にして、ゼロ以下のフィールド値に対して個別のバケットを作成できます。

フィルタでの検索

時系列チャートのタイトルの横にある設定メニューから、「フィルタのカスタマイズ」ダイアログ・ボックスにアクセスします。

stringフィールドでは、検索用のテキストを入力できます。検索用の正規表現を指定することもできます。たとえば、e$を検索すると、文字eで終わるすべてのフィールド値が表示されます。

「反転」オプションを選択して、基準と一致しない値のみを表示します。

`timestats`コマンドを使用した時系列のグラフ化

timestatsコマンドは、linkコマンドの後に使用すると、追加の時系列分析と豊富なビジュアライゼーションが提供されます。

トピック:

次のOCI統合アクティビティ・ストリーム・ログの例では、「所要時間トレンド」がフィールド「アクション」および「統合」に基づいてプロットされます:

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timestats name = 'Time Taken Trend' avg('Duration (ms)') as 'Time Taken' by Integration, Action

任意のデータ・ポイントにカーソルを置くと、その期間の上位の値を取得できます。

timestatsコマンドの詳細およびコマンドを使用した時系列のプロットの詳細なユース・ケースは、timestatsおよびtimestatsコマンドを使用した時系列分析を参照してください。

リンクのtimestats構文の理解

詳細な時系列ユース・ケースtimestatsコマンドを使用した時系列分析では、次の問合せが使用されます:

'Log Source' = 'OCI VCN Flow Unified Schema Logs' 
| link span=1day Time, Action
| timestats name="Trend of Action" sum(Count) as Records by Action

前述の例のtimestatsコマンドの一部を次に示します。

コマンド構文では、次のパラメータを使用できます。

パラメータ	説明
`name`	チャートのオプションのタイトル。これを指定しない場合は、Y軸名が使用されます。
`span=<interval>`	10minや1hourなどのオプションの間隔。値は、指定された関数を使用してこの間隔にロールアップされます。デフォルトでは、linkコマンドに指定したspanが使用されます。`link`および`timestats`コマンドに異なるスパンが指定されている場合、チャートは適切に整列されません。
`field`	X軸のタイムスタンプ・フィールドの名前。このフィールドはオプションです。デフォルトは`Start Time`フィールドです。
`<function>`	関数の名前。`stats`コマンドに関連付けられているファンクションは、`timestats`コマンドでも使用できます。ファンクションの詳細およびコマンドでファンクションを使用する例は、statsを参照してください。複数の関数を区切るにはカンマを使用します。例: `* \| eval 'Raw Size (bytes)' = unit('Raw Size', byte) \| link Time, 'Log Source' \| timestats avg('Raw Size (bytes)') as Size, sum(Count) as Records by 'Log Source'` 各関数によって新しいチャートが作成されます。UIの相関オプションを使用して、チャートを視覚的に関連付けることができます。
`as <alias>`	時系列ごとにオプションの別名を指定します。
`by <field>`	この関数は、指定されたフィールドの個別値ごとに計算されます。複数のフィールドを指定できます。特定の関数のすべての句ごと値が同じチャートにプロットされます。timestatsコマンドに複数の関数がある場合、複数のチャートがあります。ノート: グループ化フィールドの数は4に制限されています。

リンク・タイムステートでのフィールドの使用

timestats関数には、次の2つのタイプのフィールドを使用できます。

プロパティ・フィールド: linkコマンドで使用されるフィールド、またはlinkの後にstats、eventstats、eval、lookup、nlpまたはdeltaコマンドを使用して作成されたフィールド。
ログ・レコード・フィールド: ログ・ソースで定義され、ログ・レコードに存在するフィールド。このようなフィールドは、timestats関数から直接参照できます。

プロパティ・フィールドのみが句で使用可能です。「メッセージ」、「元のコンテンツ」、「エラー・スタック」などの大きいフィールドは、関数または副句では使用できません。

ログのサブセットを示す: addfieldsコマンドを使用して、データの特定のサブセットのチャートを生成します。addfieldsで使用するフィールドは、プロパティ・フィールドである必要があります。次の例では、addfieldsの使用方法を示します。

*
| link Time, 'Log Source'
| addfields 
   [ * | where 'Log Source' in ('Linux Audit Logs', 
                                'Linux Secure Logs', 
                                'Linux Syslog Logs', 
                                'Linux Cron Logs') 
       | timestats name = 'Linux Logs' sum(Count) as Records by 'Log Source' 
   ],    [ * | where 'Log Source' not in ('Linux Audit Logs', 
                                          'Linux Secure Logs', 
                                          'Linux Syslog Logs', 
                                          'Linux Cron Logs') 
             | timestats name = 'Non Linux Logs' sum(Count) as Records by 'Log Source' 
   ]

返されるチャート数の指定: topcountまたはbottomcountパラメータを使用して、UIに返されるチャートの数を指定します。

topcount: フィールド別にグループ化する場合は、集計値が最も大きい個別グループのN個数を返します。
bottomcount: フィールド別にグループ化する場合は、集計値が最小の個別グループのN個数を返します。

例:

*
| link Time, 'Log Source'
| timestats topcount = 3 name = 'Top 3 Log Sources by Count'
            sum(Count) as 'Log Records'
        by 'Log Source'
| addfields
     [ * | where 'Log Source' in ('Linux Audit Logs', 'Linux Secure Logs', 'Linux Syslog Logs', 'Linux Cron Logs')
         | timestats bottomcount = 3 name = 'Bottom 3 Linux Logs'
                     sum(Count) as Records
                   by 'Log Source' ]

前述の問合せを実行した結果、次のチャートが生成されます。

topcountまたはbottomcountパラメータを使用して、チャートの数を指定します

時系列の制限

by句のフィールド数: 句ごとに許可されるフィールドは最大4つのみです。
許可されるフィールド: 関数およびby句で大きなフィールドを使用しないでください。大きいフィールドの例には、「メッセージ」フィールド、「補足詳細」フィールド、「エラー・スタック」フィールド、「元のログ・コンテンツ」フィールドなどがあります。
NULL値: 「開始時間」列の値を使用して、リンク表の値を整列します。たとえば、「期間」フィールドには、午前10時6分、午前10時10分および午後1時12分の値のみを指定できます。alignmentの一部として、timestats avg(Duration)コマンドは、午前10時6分と午前10時10分を午前10時の単一の平均に平均します。午前11時と午後12時の値がないため、ゼロで埋められます。午後1時12分の値は、午後1時の間隔に配置されます。

実際の配置間隔は、問合せに使用される間隔によって異なります。間隔は、spanパラメータを使用して明示的に指定できます。
時系列値の数: timestatsコマンドごとに100シリーズのみが返されます。この制限を説明する例を次に示します。
- コマンドtimestats sum(Count) as Records by 'Log Source'は、上位100個のログ・ソースのみを返します。上位100は、まず各ログ・ソース時系列の値をソートし、次にこれらの時系列をソートすることによって識別されます。つまり、ログ・ソースのレコードにすべてのゼロと1つの大きなスパイクが含まれている場合、返される結果にそのレコードが含まれます。
- コマンドtimestats sum(Count) as Records by 'Log Source'、 Labelは、ログ・ソースとラベルの上位100個の一意の組合せを返します。
結果の一部が返された場合、時系列の横にある情報アイコンは、生成された系列の合計数を示します。

多数の時系列値を処理するためのオプションの一部を次に示します。
- addfieldsコマンドを使用して、タイムスタットで使用される特定の値をフィルタします。
- topcountまたはbottomcountを使用して、上位100または下位100のチャートを返します。
- timeclusterコマンドを使用して、時系列をクラスタ化します。これにより、代表的なサンプルのみが返されるため、チャートの数が削減されます。

時系列チャートの構成オプション

ヒストグラム・チャートと同様に、チャートを使用して探索できる次のオプションがあります。「グラフ・オプション」アイコンをクリックします。

チャートの非表示/表示: チャートを非表示または表示できます。
チャート・タイプの選択: 様々なチャート・タイプから選択できます。
チャートの高さと幅の調整: 「高さ」オプションを使用して、チャートの高さを増やすことができます。幅コントロールをドラッグして、チャートの幅を増減します。複数の関数がある場合、幅を小さくすると、同じ行に複数のチャートが表示されます。全幅で、すべてのチャートが個々の行に表示されます。幅を小さくすると、チャートは複数の列の順序で配置されます。
チャート間の相関: チャート・オプション「相関ツールチップの表示」を使用して、チャート間で相関ツールのヒントを表示できます。

また、次のオプションを使用してチャートを構成することもできます。

凡例管理: チャート・オプションの「凡例の表示」オプションを使用して、凡例をオンまたはオフにできます。
チャート・フィルタ: フィルタを使用して時系列を対話形式で分析できます。「チャート・オプション」、「フィルタ」および「検索フィルタの表示」をクリックして、フィルタを有効にします。フィルタ・オプションには、タイムシート・チャートで使用されるフィールドのリストが表示されます。「フィルタ」パネルに表示する1つ以上のフィールドを選択できます。「フィルタ」オプションを選択すると、timestatsコマンドによって生成されるフィールドと、by句で使用されるフィールドがチャートの上に表示されます。

1つ以上のフィルタを選択して、それらの特定のデータ・ポイントのみを表示します。「すべて選択」オプションを切り替えることで、フィルタ選択をリセットできます。
フィルタの検索およびカスタマイズ: フィルタ名の横にある「オプション」アイコンをクリックして、そのフィルタの値の完全なリストを表示します。検索するテキストを入力できます。検索用の正規表現を指定することもできます。たとえば、e$を検索すると、文字eで終わるすべての結果が表示されます。

「反転」オプションを選択して、基準と一致しない値のみを表示します。
色の選択: 時系列ごとに色を構成できます。

OCI監査ログの各Statusのトレンドを示す次の問合せについて考えてみます:
```
Status != null and 'Log Source' = 'OCI Audit Logs'
| link Time, Status
| timestats sum(Count) as 'Number of Hits' by Status
```
チャートには、「ステータス」の値とデフォルトの色が表示されます。「ステータス」フィールドの値は、200、201、404、409、204および400です。

チャート・オプションを使用してフィルタを有効にし、チャートの横にある色オプションを表示します。

「色」リンクをクリックし、Statusフィールドを選択して、構成する値と同じ数の色を持つパレットを選択します。

各色式を、一致させる値または正規表現で更新します。

このプロセスを「色」ドロップダウン内のフィールドごとに繰り返して、色を構成できます。

`timecluster`コマンドを使用した時系列のグラフ化

linkコマンドの後にtimeclusterコマンドを使用して、類似した時系列値をグループ化できます。クラスタリングは、分析する時系列が多数ある場合、または時系列値の異なる動作を識別する場合に便利です。

トピック:

リンク・タイムクラスターの仕組みの理解

次の例では、linkの後にtimeclusterを使用して、OCI統合アクティビティ・ストリーム・ログの代表的なサンプルを取得します。任意のデータ・ポイントにマウスを置くと、クラスタに関する追加の詳細を取得できます。

Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs' 
| eval 'Duration (ms)' = unit(Duration, ms) 
| link Identifier, Instance, Action
| stats unique(Integration) as Integration 
| timecluster name = 'Similar Integrations' avg('Duration (ms)') as 'Time Taken' by Integration, Action

フィルタを使用した個々のクラスタの表示: 「チャート・オプション」をクリックし、「フィルタ」をクリックしてフィルタを有効化および表示します。各クラスタIDを選択して、そのクラスタの詳細を表示します。

リンクtimeclusterの動作の理解

クラスタリングでは、同じ形状と値を持つ各時系列が参照されます。時系列のクラスタリングに使用される特性の一部を次に示します。

時系列におけるピークと谷: 類似したピークと谷を持つ時系列がまとめてクラスタ化される傾向があります。
各ポイントの値: 2つの時系列のスパイクが似ている場合でも、値が遠く離れている場合でも、異なるクラスタに分類される可能性があります。

各クラスタは、コンソールに表示される次のプロパティーを取得します。

プロパティ	説明
クラスタID	クラスタの一意のID
クラスタ・メンバー	このクラスタ内の時系列の数
最小値	選択した間隔のこのクラスタの最小値
最大値	選択した間隔のこのクラスタの最高値
値	選択した間隔における、このクラスタに指定された`stats`関数の値
パーセント	このクラスタ内のメンバー数で表されるグループの割合
クラスタ・サンプル	クラスタのサンプルはほとんどありません。ノート: 同様の動作を示すサンプルのみであるため、サンプルに表示される値よりも多くの値を指定できます。

timeclusterの構文とオプションは、timestatsコマンドと同様です。時系列チャートの構文および構成オプションの詳細は、リンク・タイムステート構文の理解および時系列チャートの構成オプションを参照してください。

timeclusterを使用して時系列をプロットするユースケースの例は、時系列クラスタリングを参照してください。

Oracle Cloud Infrastructureドキュメント