Puede combinar las capacidades de enlace y cluster para clasificar los clusters para un campo específico. Puede identificar las entidades o los tipos de entidad que tengan los problemas con más posibilidades y ver cualquier patrón o anomalía en esas entidades.

Con los clusters, puede analizar una gran cantidad de registros de log e identificar posibles incidencias. Con la capacidad Enlace por cluster, puede agrupar los registros de log por clusters e identificar posibles incidencias en función de la selección del campo para el análisis. Por ejemplo, si desea agrupar los clusters en función de la entidad, el tipo de entidad o el origen de log, puede utilizar el enlace por cluster.

En el siguiente ejemplo, los registros de log del tipo de entidad Host (Linux) se analizan con las capacidades link y cluster mediante la inclusión de * | link 'Entity Type', cluster() en la consulta. La consulta completa utilizada para el análisis es:

* | link 'Entity Type', cluster() | where 'Potential Issue' != null | fields -'Potential Issue' | where Count = 45 and 'Entity Type' = literal("Host(Linux)"))

En primer lugar, el comando cluster se ejecuta en la cadena de búsqueda, en este caso *, que produce un campo denominado Ejemplo de cluster. Este campo está vinculado con el tipo de entidad para agrupar todos los clusters por tipo de entidad. Con la cláusula where se especifica que solo se busquen posibles incidencias. Por lo tanto, ahora tenemos todas las posibles incidencias agrupadas por tipo de entidad. Como puede ver en el gráfico de burbujas, hay alrededor de 45 posibles incidencias del tipo de entidad Host (Linux).

En la tabla de grupos se muestran los detalles del ejemplo de cluster correspondientes al grupo de anomalías. Observe el contenido del log del ejemplo de cluster disponible en la tabla, que posiblemente sea la causa de la posible incidencia: detected unhandled Python exception.

Siga el enlace Analizar incidencias posibles por tipo de entidad para conocer el comando de ejemplo que se utilizará en su entorno. Haga clic en Más para obtener más ejemplos de comandos que puede utilizar:

• Posibles incidencias por entidad
• Valores atípicos de posibles incidencias por entidad
• Valores atípicos de posibles incidencias por tipo de entidad
• Posibles incidencias por entidad y gravedad

En la muestra Valores atípicos de problemas posibles, la consulta es similar al ejemplo tratado, pero tiene otra cláusula where agregada (where 'Potential Issue' != null and count = 1) para identificar todos los errores que se hayan producido solo una vez durante el período de tiempo. Sin embargo, tenga en cuenta que los ejemplos de cluster siguen mostrando las variables, pero no se puede aumentar el detalle de las variables mostradas en el enlace.

Para obtener más información sobre la visualización de enlaces y los pasos para acceder al enlace desde el panel Visualizar, consulte Visualización de enlaces.