Para generar análisis útiles reduciendo el número de clusters solo a los clusters que sean únicos en el período de tiempo actual, utilice la opción Cambio de tiempo. Esta es la opción por defecto disponible con la utilidad de comparación de cluster.

Tenga en cuenta que queremos comparar los datos de log del origen Linux Syslog Logs recopilados durante la semana actual y la semana pasada.

|========================|========================|
   Baseline Time Range      Current Time Range
<----Use the same query in both the time ranges---->

Seleccione el rango de tiempo actual del selector de tiempo como Last 7 days y especifique la consulta 'Log Source' = 'Linux Syslog Logs' | cluster. Para la utilidad Comparación de cluster, se califica como el rango de tiempo actual y la consulta actual.

Haga clic en Comparación de cluster y observe que la consulta base es la misma que la consulta actual. Además, tenga en cuenta que el rango de tiempo base ya está seleccionado por defecto, que es una semana anterior a la semana actual. Haga clic en Comparar.

El resumen de Comparación de cluster se muestra de la siguiente manera:

• Solo se han encontrado 10 clusters en el rango actual
• Solo se han encontrado 248 clusters en el rango base
• Se han encontrado 13 clusters comunes en ambos rangos

Con estos datos, puede identificar la posible incidencia única en la semana actual y encontrar una causa raíz. Limite la selección de registros de log a los que puedan ser la causa de la posible incidencia.

Nota: El valor de cambio de tiempo se resta del inicio y el final de la hora actual. Si el cambio de tiempo es menor que la duración de la hora actual, se solapará. Esto mostrará todos los clusters comunes (duplicados) de ese período solapado. Se mostrará un mensaje cuando se detecte esto. En tal caso, la consulta base es la misma que la consulta actual.

Si desea comparar los datos de log del mismo origen, pero en dos rangos de tiempo personalizados, utilice la opción Hora personalizada en la utilidad de comparación de cluster.

Tenga en cuenta que queremos comparar los datos de log del tipo de entidad Host (Linux) recopilados durante el rango de tiempo actual en el mes de junio de 2019 y el rango de tiempo base en el mes de agosto de 2016.

|========================|                          |========================|
   Baseline Time Range                                   Current Time Range
<---------------->Use the same query in both the time ranges<---------------->

Seleccione el rango de tiempo actual del selector de tiempo para el período del June 1, 2019 12:00 AM al June 27, 2019 8:21 PM y especifique la consulta 'Entity Type' = 'Host (Linux)' | cluster. Para la utilidad Comparación de cluster, se califica como el rango de tiempo actual y la consulta actual.

Haga clic en Comparación de cluster y observe que la consulta base es la misma que la consulta actual. Haga clic en el icono junto al Rango de tiempo base y seleccione Usar tiempo personalizado. Especifique el rango de tiempo personalizado del Aug 15, 2016 12:00 AM al Aug 20, 2016 12:00 AM. Haga clic en Comparar.

El resumen de Comparación de cluster se muestra de la siguiente manera:

• Solo se han encontrado 278 clusters en el rango actual
• Solo se han encontrado 7 clusters en el rango base
• Se han encontrado 4 clusters comunes en ambos rangos

Este análisis puede permitir comparar los datos de syslog del tipo de entidad en los dos períodos, eliminar los clusters comunes y ver los clusters únicos. En este caso, el aumento del número de posibles incidencias desde el rango base hasta el rango de tiempo actual se puede analizar visualizando los logs relacionados con los posibles incidentes en el rango de tiempo actual.

Si desea comparar los logs de diferentes orígenes en el mismo rango de tiempo, utilice Comparación de cluster por hora actual y seleccione los logs de diferentes tipos de entidad u orígenes.

Considere un caso en el que se informa de un error en el nodo de una aplicación Rideshare rs_host01, pero no en el nodo rs_host03. Ambos nodos se pueden comparar mediante el mismo rango de tiempo de Aug 14, 2016, 9:30:00 AM a Aug 20, 2016, 9:30:00 AM para detectar variaciones e identificar incidencias que luego pueden ser provocados por la causa raíz. Ambos nodos tienen aproximadamente 20.000 registros de log que comparar y analizar.

|=================================================|
<----Baseline Time Range = Current Time Range----->
<-----------------Baseline Query------------------>
<------------------Current Query------------------>

Seleccione el rango de tiempo actual del selector de tiempo como Aug 14, 2016, 9:30:00 AM a Aug 20, 2016, 9:30:00 AM y especifique la consulta Entity = rs_host01. Para la utilidad Comparación de cluster, se califica como el rango de tiempo actual y la consulta actual.

Haga clic en Comparación de cluster y observe que la consulta base es la misma que la consulta actual. Haga clic en y modifique la consulta base en Entity = rs_host03. Por defecto, en el rango de tiempo base se cambia el tiempo. Haga clic en junto al rango de tiempo base y seleccione la opción Usar tiempo actual. Haga clic en Comparar.

El resumen de Comparación de cluster se muestra de la siguiente manera:

• Solo se han encontrado 2 clusters en el rango actual
• Solo se han encontrado 0 clusters en el rango base
• Se han encontrado 9 clusters comunes en ambos rangos

Tenga en cuenta que en el mismo rango temporal, los dos nodos Rideshare tienen 9 clusters comunes y el nodo rs_host01 tiene 2 clusters únicos. Evidentemente, en la tabla de clusters se muestra el error fatal que ha provocado la incidencia en el nodo que se analiza.

Este análisis elimina la complejidad de comparar 20.000 registros de ambos nodos eliminando los clusters comunes e identificando clusters únicos, lo que da como resultado un menor número de registros para analizar.