Para gerar análises úteis reduzindo o número de clusters apenas aos que são exclusivos no período atual, use a opção Mudança de Horário. Esta é a opção padrão disponível com o utilitário de comparação de clusters.

Considere que queremos comparar os dados de log da origem Linux Syslog Logs coletados na semana atual e na semana passada.

|========================|========================|
   Baseline Time Range      Current Time Range
<----Use the same query in both the time ranges---->

Selecione a faixa de tempo atual no seletor de tempo como Last 7 days e especifique a consulta 'Log Source' = 'Linux Syslog Logs' | cluster. Para o utilitário de comparação de clusters, isso se qualifica como faixa de tempo atual e a consulta atual.

Clique em Comparação de Clusters e observe que a consulta de linha de base é igual à consulta atual. Além disso, observe que a faixa de tempo da linha de base já está selecionada por padrão, que é uma semana antes da semana atual. Clique em Comparar.

O resumo Comparação de Clusters é exibido da seguinte forma:

• 10 clusters foram encontrados apenas na faixa atual
• 248 clusters foram encontrados apenas na faixa da linha de base
• 13 clusters comuns foram encontrados nas duas faixas

Usando esses dados, você pode identificar o possível problema na semana atual e encontrar uma causa raiz. Restrinja sua seleção de registros de log àqueles que são a causa do possível problema.

Observação: O valor de mudança de horário é subtraído do início e do fim do horário atual. Se a mudança de horário for menor que a duração do horário atual, haverá uma sobreposição. Isso mostrará todos os clusters comuns (duplicados) desse período de sobreposição. Uma mensagem será mostrada quando isso for detectado. Nesse caso, a consulta de linha de base é igual à consulta atual.

Se você quiser comparar os dados de log da mesma origem, mas em duas faixas de tempo personalizadas, use a opção Tempo Personalizado no utilitário de comparação de clusters.

Considere que queremos comparar os dados de log do tipo de entidade Host (Linux) coletados na faixa de tempo atual no mês de junho de 2019 e na faixa de tempo da linha de base no mês de agosto de 2016.

|========================|                          |========================|
   Baseline Time Range                                   Current Time Range
<---------------->Use the same query in both the time ranges<---------------->

Selecione a faixa de tempo atual no seletor de tempo do período June 1, 2019 12:00 AM a June 27, 2019 8:21 PM e especifique a consulta 'Entity Type' = 'Host (Linux)' | cluster. Para o utilitário de comparação de clusters, isso se qualifica como faixa de tempo atual e a consulta atual.

Clique em Comparação de Clusters e observe que a consulta de linha de base é igual à consulta atual. Clique no ícone ao lado da Faixa de Tempo da Linha de Base e selecione Usar Tempo Personalizado. Especifique a faixa de tempo personalizada de Aug 15, 2016 12:00 AM a Aug 20, 2016 12:00 AM. Clique em Comparar.

O resumo Comparação de Clusters é exibido da seguinte forma:

• 278 clusters foram encontrados apenas na faixa atual
• 7 clusters foram encontrados apenas na faixa da linha de base
• 4 clusters comuns foram encontrados nas duas faixas

Essa análise pode permitir comparar os dados de syslog do tipo de entidade nos dois períodos, eliminar os clusters comuns e exibir os clusters exclusivos. Nesse caso, o aumento no número de possíveis problemas da faixa de linha de base para a faixa de tempo atual pode ser analisado exibindo os logs pertencentes aos possíveis problemas na faixa de tempo atual.

Se você quiser comparar os logs de diferentes origens na mesma faixa de tempo, use Comparação de Clusters por horário atual e selecione os logs de diferentes tipos de entidade ou origens.

Considere um caso em que um erro é reportado no nó de um aplicativo Rideshare rs_host01, mas não no nó rs_host03. Ambos os nós podem então ser comparados usando a mesma faixa de tempo de Aug 14, 2016, 9:30:00 AM a Aug 20, 2016, 9:30:00 AM para detectar variações e identificar problemas que podem ser de causa raiz. Ambos os nós têm aproximadamente 20.000 registros de log para comparação e análise.

|=================================================|
<----Baseline Time Range = Current Time Range----->
<-----------------Baseline Query------------------>
<------------------Current Query------------------>

Selecione a faixa de tempo atual no seletor de tempo como Aug 14, 2016, 9:30:00 AM a Aug 20, 2016, 9:30:00 AM e especifique a consulta Entity = rs_host01. Para o utilitário de comparação de clusters, isso se qualifica como faixa de tempo atual e a consulta atual.

Clique em Comparação de Clusters e observe que a consulta de linha de base é igual à consulta atual. Clique em e modifique a consulta de linha de base para Entity = rs_host03. Por padrão, a faixa de tempo da linha de base passa por mudança de horário. Clique em ao lado da faixa de tempo da linha de base e selecione a opção Usar Horário Atual. Clique em Comparar.

O resumo Comparação de Clusters é exibido da seguinte forma:

• 2 clusters foram encontrados apenas na faixa atual
• 0 clusters foram encontrados apenas na faixa da linha de base
• 9 clusters comuns foram encontrados nas duas faixas

Observe que, na mesma faixa de tempo, os dois nós Rideshare têm 9 clusters comuns e o nó rs_host01 tem 2 clusters exclusivos. Evidentemente, a tabela de clusters lista o erro fatal que causou o problema no nó analisado.

Essa análise elimina a complexidade da comparação de 20.000 registros dos dois nós, removendo os clusters comuns e identificando clusters exclusivos, resultando em um número menor de registros a serem analisados.