リンク機能とクラスタ機能を組み合せて、特定のフィールドのクラスタを分類できます。潜在的な問題のあるエンティティまたはエンティティ・タイプを識別し、それらのエンティティ全体でパターンまたは異常を確認できます。

クラスタを使用して、大量のログ・レコードを分析し、潜在的な問題を識別できます。クラスタ別リンク機能を使用すると、ログ・レコードをクラスタ別にグループ化し、分析用のフィールドの選択に基づいて潜在的な問題を識別できます。たとえば、エンティティ、エンティティ・タイプまたはログ・ソースに基づいてクラスタをグループ化する場合、クラスタ別リンクを使用できます。

次の例で、Host (Linux)エンティティ・タイプのログ・レコードは、問合せに* | link 'Entity Type', cluster()を含めることによってリンクおよびクラスタ機能を使用して分析されます。分析に使用される完全な問合せは次のとおりです:

* | link 'Entity Type', cluster() | where 'Potential Issue' != null | fields -'Potential Issue' | where Count = 45 and 'Entity Type' = literal("Host(Linux)"))

最初に、clusterコマンドは検索文字列(この場合は*)で実行され、Cluster Sampleというフィールドが生成されます。このフィールドは、エンティティ・タイプにリンクされ、すべてのクラスタがエンティティ・タイプ別にグループ化されます。where句は、Potential Issuesのみを検索するように指定します。その結果、すべての潜在的な問題がエンティティ・タイプ別にグループ化されます。バブル・チャートに示されているとおり、Host (Linux)エンティティ・タイプの潜在的な問題は約45個あります。

グループ表には、異常グループに対応するクラスタ・サンプルの詳細が表示されています。潜在的な問題の原因と考えられるクラスタ・サンプルのログ・コンテンツが表に含まれていることに注意してください: detected unhandled Python exception。

環境で使用するサンプル・コマンドの「エンティティ・タイプ別の潜在的な問題の分析」リンクに従います。使用可能なその他のサンプル・コマンドは、「その他」をクリックします:

• エンティティ別の潜在的な問題
• エンティティ別の潜在的な問題の外れ値
• エンティティ・タイプ別の潜在的な問題の外れ値
• エンティティ、重大度別の潜在的な問題

潜在的な問題の外れ値サンプルでは、問合せは前述の例と似ていますが、期間内に1回のみ発生したすべてのエラーを識別するために、別のwhere句(where 'Potential Issue' != null and count = 1)が追加されています。ただし、クラスタ・サンプルには引き続き変数が表示されますが、リンクに表示される変数にはドリルダウンできません。

リンク・ビジュアライゼーションの詳細および「ビジュアル化」パネルからリンクにアクセスするステップは、リンクのビジュアライゼーションを参照してください。