Oracle Cloud Infrastructureドキュメント

マップ・ビジュアライゼーション

Oracle Logging Analyticsのマップ・ビジュアライゼーションを使用して、ログの収集元の場所によってグループ化されたログ・レコードを表示できます。

追加トピック:

マップを使用してロケーション・フィールドに基づいてログ・レコードを表示する前に、Oracle定義ソースを使用していない場合は、フィールド・エンリッチメント・オプションを設定して、Oracle Logging Analyticsの「管理」ページからログ・ソースの「市区町村」、「地域」、「国」、「大陸」または「場所の座標」フィールドに移入する必要があります。フィールド・エンリッチメント・オプションの構成を参照してください。
  1. エンティティ・セットのログを検索します。エンティティでのログの検索を参照してください。
  2. ログ・エクスプローラで、「ビジュアル化」パネルから「マップ」(マップを開く)を選択します。
    これにより、「クライアント座標」「クライアント・ホスト大陸」「クライアント・ホスト国」「クライアント・ホスト都市」および「クライアント・ホスト地域」でログ・レコードをグループ化できるワールド・マップが表示されます。

    次の例は、ログレコードが1,195の場所から収集されるマップを示しています。


    マップ・ビジュアライゼーション

    ビジュアライゼーションの下にある警告アイコンとヒントは、表示されているものより多くのデータが使用可能であることを示します。「参照」セクションのフィールドのいずれかを使用して、使用可能なデータをフィルタできます。たとえば、上に表示されたデータで、大陸Asiaからのログのみを表示するフィルタを適用した場合、問合せは選択を反映して更新されます。これを行うには、「参照済」セクションの「クライアント・ホスト大陸」フィールドの横にある「アクション」アイコンをクリックし、「フィルタ」をクリックして、「クライアント・ホスト大陸のフィルタ」ダイアログ・ボックスでAsiaのチェック・ボックスを有効にし、「適用」をクリックします。

  3. ユース・ケースのビジュアライゼーションをカスタマイズするには、「マップ・オプション」アイコン「マップ・オプション」アイコンをクリックします。

    • カラー・マップの表示: デフォルトでは、カラー・マップは有効です。グレースケール・マップの表示を選択できます。

    • 凡例の表示: ログ・レコード・サイズのサマリーとグループの数が表示されます。

    • 点の色: ログ・レコードの収集元となる場所を表す点の色を選択します。

    • 付近のポイントの組合せ: 場所の数が多く、ポイント数を減らす場合は、付近のポイントを組み合せてビューを簡略化できます。

    • 結合された点の色: 結合された点を表す点の色を選択します。

    • ズーム時にフィルタ: このオプションを有効にすると、長方形のズームで選択した領域にフォーカスした新しい問合せが実行されます。

    • マウス・ホイールの有効化: ビジュアライゼーション領域内のマウス・ホイールを使用して、マップをズーム・インまたはズーム・アウトします。

  4. 分析をマップの特定の領域にフォーカスするには、「矩形ズーム」アイコン 長方形のズーム・アイコンをクリックして、目的の領域を選択します。次に、マップが自動的に調整され、リージョンにフォーカスが移ります。マップ・オプションで「ズームでフィルタ」オプションを有効にした場合は、選択した領域のログ・レコードをフィルタする新しい問合せが実行されます。

geostatsコマンドを使用したジオロケーションの指定

マップ・ビジュアライゼーションでは、ジオロケーション座標を使用してマップに集計結果が表示されます。これらの座標は、IPアドレス・フィールドに基づいて、ログの取込み時にエンリッチされます。ただし、すべてのIPアドレスに有効な座標フィールドがあるとはかぎりません。デフォルトのエンリッチメントが正しくないか、情報が欠落している場合は、独自の座標を指定できるようになりました。

geostatsコマンドの include=customオプションを使用して、ジオロケーション情報を含むフィールドを指定します。「座標」を指定する必要があります。オプションで、「郡市区」「国」および「続き」を指定することもできます。次に、by句の「座標」フィールドを使用する必要があります。

次に、eval文を使用してこれらの値を指定する例を示します。 

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| eval 'Source Coordinates' = if('Source IP' in ('10.0.3.188', '10.0.0.7'), '42.5,-83.23', 
                                 'Source IP' = '129.146.13.236', '32.72,-96.68', 
                                 null)
| eval 'Source City' = if('Source Coordinates' = '42.5,-83.23',  southfield,
                          'Source Coordinates' = '32.72,-96.68', dallas,
                          null)
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
       count by 'Source IP', 'Source Coordinates'

eval文を使用した地理的位置値の指定

ルックアップを使用したジオロケーションの指定

evalを使用するかわりに、単純参照またはディクショナリ参照を使用してジオロケーション値を指定できます。次に、ディクショナリ参照の例を示します。 

Operator,Condition,Coordinates,City
CIDRMATCH,10.0.3.1/24,"42.5,-83.23",Southfield
CIDRMATCH,129.146.13.1/24,"32.72,-96.68",Dallas

その後、問合せでルックアップを使用できます:

'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| lookup table = 'Custom Coordinates' select Coordinates as 'Source Coordinates', City as 'Source City' using 'Source IP'
| geostats include = custom city = 'Source City' coordinates = 'Source Coordinates' 
      count by 'Source IP', 'Source Coordinates'

ディクショナリ・ルックアップの作成を参照してください。

マップでのカスタム色の使用

マップ・ビジュアライゼーションでは、カスタム色を使用してフィールドの様々な値を識別できます。フィールドは、設定の「グループ化基準」セクションに含まれている必要があります。問合せのgeostatsコマンドの後にhighlightgroupsコマンドを使用して、カスタム色を指定します。

次の例では、「アクション」フィールドが「グループ化基準」セクションに含まれています。その結果、geostatsコマンドは「アクション」フィールドで更新されます。次に、問合せが編集され、「アクション」の特定の値に対応する色がマップに表示されるように、highlightgroupsコマンドが色指定とともに追加されます:

「アクション」フィールドの値 表示色
reject
accept, allow, alert
drop

前述の変更後の問合せの例: 

'Client Coordinates' != null and Action != null | geostats count by Action | highlightgroups color = red [ * | where Action = reject ] | highlightgroups color = green [ * | where Action in (accept, allow, alert) ] | highlightgroups color = blue [ * | where Action in (drop) ] | sort -Action

前述の問合せの実行時のマップ・ビジュアライゼーションの例:


前述の問合せの実行時のマップ・ビジュアライゼーションの例