時系列グラフ
時系列チャートを生成するには、timestatsまたはtimeclusterコマンドを実行します。
トピック:
時系列分析の表示をカスタマイズするには、次のチャート・オプションを使用できます。
| ヒストグラム・チャート・オプション | ユーティリティ |
|---|---|
|
グラフ・タイプ |
次のタイプのビジュアライゼーションから選択して、グループ・データを表示します:
|
| グラフのグループ化 |
なし: 時系列関数ごとに個別のチャートを生成します。 すべて: 各時系列関数のチャートを1つのチャートにグループ化します。 |
|
積上げの表示 |
このオプションは、時間の経過に伴う相対値または絶対値の比較に役立つように積み重ねられた個々のチャートを表示します。 |
|
関連するツールチップの表示 |
複数のチャートを表示する場合は、「関連するツールチップの表示」チェック・ボックスの選択を解除すると、一度に1つのツールチップのみを表示できます。 |
|
凡例の表示 |
凡例の表示を切り替えます。 |
|
Y軸を隠す |
Y軸をプロットするために使用される変数の表示を非表示にして、視覚化を向上できます。 |
|
「高さ」および「幅」 |
チャートの「高さ」および「幅」を変更して、ビジュアライゼーションを最適化し、1つの線に複数のチャートを表示できます。 |
時系列チャートの色の変更
ヒート・マップのカラー・スキームを変更するには、時系列チャートのタイトルの横にある
「設定」メニューから、「カラー・パレット」をクリックします。または、チャートとフィールド名の横にある「色」リンクをクリックします。カラー・パレットで色を選択します。
ヒート・マップ・チャートは、選択したパレットに色を変更します。
上の図では、高い値が色の強度で識別しやすいことがわかります。
時系列フィルタの使用およびカスタマイズ
時系列チャートのタイトルの横にある「設定」メニューから、「フィルタ・オプション」ダイアログ・ボックスにアクセスします。
トピック:
フィルタの有効化
「フィルタ・オプション」ダイアログ・ボックスには、タイムスタンプ・チャートで使用されるフィールドのリストが表示されます。チェック・ボックス「検索フィルタの表示」を有効にします。「フィルタ」パネルに表示するフィールドを1つ以上選択できます。たとえば、次のような検索を行うとします。
*
| eval 'Raw Size (bytes)' = unit('Raw Size', byte)
| link Time, 'Entity Type'
| timestats name = 'Entity Types'
sum(Count) as 'Number of Logs',
sum('Raw Size (bytes)') as 'Log Size'
by 'Entity Type'「フィルタ・オプション」ダイアログ・ボックスに、timestatsコマンドによって生成された次のフィールドと、by句で使用されるフィールドが表示されます: エンティティ・タイプ、ログ数、ログ・サイズ。
フィールド・パネルでは、1つ以上のフィルタを選択して、それらの特定のデータ・ポイントのみを表示できます。フィルタをリセットするには、「すべて選択」オプションを切り替えます。
特定のフィールドでフィルタを有効にした後、stringフィールドの値の完全なリストを表示するには、フィールド名の横にある設定アイコンをクリックします。
フィルタのカスタマイズ
時系列チャートのタイトルの横にある設定メニューから、「フィルタのカスタマイズ」ダイアログ・ボックスにアクセスします。
数値フィールドの場合、数値フィールド名の横にある設定アイコンをクリックして、フィルタをカスタマイズすることもできます。「フィルタのカスタマイズ」ダイアログ・ボックスが表示されます。次の「範囲計算方法」オプションを使用できます:
-
デフォルト: デフォルトでは、範囲は最大値の5分の1に固定され、2、3、4、5または10に丸められます。たとえば、最大値が48の場合、範囲は10になります。Then the buckets would be calculated as Below 0, Up to 9, 10 - 19, 20 - 29, 30 - 39, 40 - 49, Above 50.
-
対数: 1 - 10、10 - 100、1000 - 10000などの対数範囲を使用するには、範囲計算方法を対数に変更します。
-
カスタム: 特定のデータ・セットには可変範囲が必要です。たとえば、使用率が低い場合はCPU平均をバケットに0 - 30%、有効使用率が30 - 80%、警告が80 - 95%、95%を超えるものは極度に終了する必要があるとします。この変数範囲を構成するには、カンマ区切りの値
30,80,95を指定します。これにより、バケット0-30、30-80、80-95、95+が作成されます。
オプションで、「バケット値<= 0個別」チェック・ボックスを有効にして、ゼロ以下のフィールド値に対して個別のバケットを作成できます。
フィルタでの検索
時系列チャートのタイトルの横にある設定メニューから、「フィルタのカスタマイズ」ダイアログ・ボックスにアクセスします。
stringフィールドでは、検索するテキストをキーとして入力できます。検索用の正規表現を指定することもできます。たとえば、e$を検索すると、文字eで終わるすべてのフィールド値が表示されます。
「反転」オプションを選択すると、基準と一致しない値のみが表示されます。
timestatsコマンドを使用した時系列のグラフ化
linkコマンドの後にtimestatsコマンドを使用すると、追加の時系列分析および豊富なビジュアライゼーションが提供されます。
トピック:
OCI統合アクティビティ・ストリーム・ログの次の例では、「所要時間トレンド」が「アクション」および「統合」フィールドに基づいてプロットされます:
Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs'
| eval 'Duration (ms)' = unit(Duration, ms)
| link Identifier, Instance, Action
| stats unique(Integration) as Integration
| timestats name = 'Time Taken Trend' avg('Duration (ms)') as 'Time Taken' by Integration, Action
任意のデータ・ポイントにカーソルを置くと、その期間の上位の値を取得できます。
timestatsコマンドの詳細およびコマンドを使用した時系列のプロットの詳細なユースケースは、timestatsおよびtimestatsコマンドを使用した時系列分析を参照してください。
リンクのタイムスタンプ構文の理解
詳細な時系列ユースケースtimestatsコマンドを使用した時系列分析では、次の問合せが使用されます。
'Log Source' = 'OCI VCN Flow Unified Schema Logs'
| link span=1day Time, Action
| timestats name="Trend of Action" sum(Count) as Records by Action前述の例のtimestatsコマンドの一部は次のようになります。
コマンド構文では、次のパラメータを使用できます。
| パラメータ | 説明 |
|---|---|
name |
チャートのオプション・タイトル。これを指定しない場合、Y軸名が使用されます。 |
span=<interval> |
10minや1hourなどのオプションの間隔。値は、指定された関数を使用してこの間隔にロールアップされます。デフォルトでは、linkコマンドに指定されたspanが使用されます。linkおよびtimestatsコマンドに異なるスパンが指定されている場合、チャートは適切に整列しません。
|
field |
X軸のタイムスタンプ・フィールドの名前。このフィールドはオプションです。デフォルトはStart Timeフィールドです。
|
<function> |
関数の名前。statsコマンドに関連付けられているファンクションは、timestatsコマンドでも使用できます。ファンクションの詳細およびコマンドでファンクションを使用する例は、statsを参照してください。
複数の関数を区切るにはカンマを使用します。例: 各関数が新しいチャートを作成します。UIの「相関」オプションを使用して、チャートを視覚的に相互に関連付けることができます。 |
as <alias> |
時系列ごとにオプションの別名を指定します。 |
by <field> |
関数は、指定されたフィールドの個別値ごとに計算されます。複数のフィールドを指定できます。
特定の関数の副次句値はすべて同じチャートにプロットされます。timestatsコマンドに複数の関数がある場合は、複数のチャートがあります。 ノート: グループ化フィールドの数は4に制限されています。 |
リンク・タイム・スタットのフィールドの使用
タイムスタンプ関数には、次の2つのタイプのフィールドを使用できます。
-
プロパティ・フィールド:
linkコマンドで使用されるフィールド、またはlinkの後にstats、eventstats、eval、lookup、nlpまたはdeltaコマンドを使用して作成されたフィールド。 -
ログ・レコード・フィールド: ログ・ソースで定義され、ログ・レコードに存在するフィールド。このようなフィールドは、タイムスタンプ関数から直接参照できます。
副句ではプロパティ・フィールドのみが許可されます。「メッセージ」、「元のコンテンツ」、「エラー・スタック」などの大きなフィールドは、関数または副句では使用できません。
ログのサブセットのチャート化: addfieldsコマンドを使用して、データの特定のサブセットのチャートを生成します。addfieldsで使用されるフィールドは、プロパティ・フィールドである必要があります。次の例では、addfieldsの使用方法を示します。
*
| link Time, 'Log Source'
| addfields
[ * | where 'Log Source' in ('Linux Audit Logs',
'Linux Secure Logs',
'Linux Syslog Logs',
'Linux Cron Logs')
| timestats name = 'Linux Logs' sum(Count) as Records by 'Log Source'
], [ * | where 'Log Source' not in ('Linux Audit Logs',
'Linux Secure Logs',
'Linux Syslog Logs',
'Linux Cron Logs')
| timestats name = 'Non Linux Logs' sum(Count) as Records by 'Log Source'
]返されるチャート数の指定: topcountまたはbottomcountパラメータを使用して、UIに返すチャートの数を指定します。
topcount: フィールドでグループ化する場合、集計値が最も大きい個別グループのN個の数を返します。bottomcount: フィールドでグループ化する場合、集計値が最も小さい個別グループのN個の数を返します。
例:
*
| link Time, 'Log Source'
| timestats topcount = 3 name = 'Top 3 Log Sources by Count'
sum(Count) as 'Log Records'
by 'Log Source'
| addfields
[ * | where 'Log Source' in ('Linux Audit Logs', 'Linux Secure Logs', 'Linux Syslog Logs', 'Linux Cron Logs')
| timestats bottomcount = 3 name = 'Bottom 3 Linux Logs'
sum(Count) as Records
by 'Log Source' ]前述の問合せを実行した結果として、次のチャートが生成されます。
タイム・シリーズの制限
-
by句のフィールド数: by句では最大4つのフィールドのみが許可されます。
-
許可されるフィールド: 関数およびby句で大きいフィールドを使用しないでください。大きいフィールドの例には、「メッセージ」フィールド、「補足詳細」、「エラー・スタック」および「元のログ・コンテンツ」フィールドがあります。
-
Null値: 開始時間列の値を使用して、リンク表の値を整列します。たとえば、「期間」フィールドには、10:06 AM、10:10 AMおよび1:12pmの値のみを指定できます。整列の一部として、timestats avg(Duration)コマンドは10:06 AMおよび10:10 AMの値を10:00amの1つの平均に平均します。午前11時と午後12時の値がないため、ゼロで埋められます。午後1時12分の値は、午後1時の間隔で配置されます。
実際の整列間隔は、問合せに使用される間隔によって異なります。間隔は、spanパラメータを使用して明示的に指定できます。
-
時系列値の数: timestatsコマンドごとに100シリーズのみが返されます。次の例は、この制限を示しています。
- コマンドtimestats sum(Count) as Records by 'Log Source'は、上位100のログ・ソースのみを返します。上位100は、最初に各ログ・ソース時系列の値をソートしてから、これらの時系列をソートすることで識別されます。つまり、ログ・ソースのレコードにすべてのゼロと1つの大きなスパイクが含まれている場合、それは返される結果に含まれます。
- コマンドtimestats sum(Count) as Records by 'Log Source'、 Labelは、ログ・ソースとラベルの上位100の一意の組合せを返します。
結果の一部が返された場合、時系列の横にある情報アイコンは、生成されたシリーズの合計数を示します。
多数の時系列値を処理するオプションの一部を次に示します。
addfieldsコマンドを使用して、タイムスタンプで使用される特定の値をフィルタ処理します。topcountまたはbottomcountを使用して、上位100または下位100のチャートを返します。timeclusterコマンドを使用して、時系列をクラスタ化します。代表的なサンプルのみが返されるため、チャートの数が少なくなります。
時系列チャートの構成オプション
ヒストグラム・チャートと同様に、チャートを使用して次のオプションを確認できます。「グラフ・オプション」アイコン 
をクリックします。
-
チャートの非表示/表示: チャートを非表示または表示できます。
-
チャート・タイプの選択: 様々なチャート・タイプから選択できます。
-
チャートの高さと幅の調整: 「高さ」オプションを使用してチャートの高さを増やすことができます。「幅」コントロールをドラッグして、チャートの幅を増減します。複数の関数がある場合、幅を小さくすると、同じ行に複数のチャートが表示されます。全幅では、すべてのチャートが個別の行に表示されます。幅を小さくすると、チャートは複数の列の順序で配置されます。
-
チャート間の相関: チャート・オプション「相関ツールチップの表示」を使用して、チャート間で相関ツール・ヒントを表示できます。
また、次のオプションを使用してチャートを構成することもできます。
-
凡例管理: チャート・オプションの「凡例の表示」オプションを使用して、凡例をオンまたはオフにできます。
-
チャート・フィルタ: フィルタを使用して、時系列を対話形式で分析できます。「チャート・オプション」、「フィルタ」および「検索フィルタの表示」をクリックして、フィルタを有効にします。フィルタ・オプションには、タイムスタンプ・チャートで使用されるフィールドのリストが表示されます。「フィルタ」パネルに表示するフィールドを1つ以上選択できます。「フィルタ」オプションを選択すると、timestatsコマンドによって生成されたフィールドと、by句で使用されるフィールドがチャートの上に表示されます。
1つ以上のフィルタを選択して、それらの特定のデータ・ポイントのみを表示します。フィルタの選択をリセットするには、「すべて選択」オプションを切り替えます。
-
フィルタの検索およびカスタマイズ: フィルタ名の横にある「オプション」アイコン
をクリックして、そのフィルタの値の完全なリストを表示します。検索するテキストを入力できます。検索用の正規表現を指定することもできます。たとえば、e$を検索すると、文字eで終わるすべての結果が表示されます。「反転」オプションを選択すると、基準と一致しない値のみが表示されます。
-
色の選択: 時系列ごとに色を構成できます。
OCI監査ログの各
Statusのトレンドを示す次の問合せについて考えてみます:Status != null and 'Log Source' = 'OCI Audit Logs' | link Time, Status | timestats sum(Count) as 'Number of Hits' by Statusチャートには、「ステータス」の値とデフォルトの色が表示されます。「ステータス」フィールドの値は、
200、201、404、409、204および400です。
「チャート・オプション」を使用してフィルタを有効にし、チャートの横に色オプションを表示します。
「色」リンクをクリックし、
Statusフィールドを選択して、構成する値と同じ数の色を持つパレットを選択します。
各色式を、照合する値または正規表現で更新します。
「色」ドロップ・ダウンのフィールドごとにこのプロセスを繰り返して、色を構成できます。
timeclusterコマンドを使用した時系列のグラフ化
linkコマンドの後にtimeclusterコマンドを使用して、同様の時系列値をグループ化できます。クラスタリングは、分析する時系列が多数ある場合や、時系列値で異なる動作を識別する場合に便利です。
トピック:
次の例では、linkの後にtimeclusterを使用して、OCI統合アクティビティ・ストリーム・ログの代表的なサンプルを取得します。任意のデータ・ポイントにマウスを置くと、クラスタに関する追加の詳細を取得できます。
Duration != null and 'Log Source' = 'OCI Integration Activity Stream Logs'
| eval 'Duration (ms)' = unit(Duration, ms)
| link Identifier, Instance, Action
| stats unique(Integration) as Integration
| timecluster name = 'Similar Integrations' avg('Duration (ms)') as 'Time Taken' by Integration, Action
フィルタを使用した個々のクラスタの表示: 「チャート・オプション」をクリックし、「フィルタ」をクリックしてフィルタを有効化および表示します。各クラスタIDを選択して、そのクラスタの詳細を表示します。
リンクtimeclusterの仕組みの理解
クラスタリングでは、同じ形状と値を持つ各時系列が参照されます。時系列をクラスタ化するために使用される特性の一部を次に示します。
-
時系列のピークと谷: 同様のピークと谷を持つ時系列がクラスタ化される傾向があります。
-
各点の値: 2つの時系列に類似したスパイクがある場合でも、値が遠く離れている場合は、異なるクラスタに分類できます。
各クラスタは、コンソールに表示される次のプロパティを取得します。
| プロパティ | 説明 |
|---|---|
| クラスタID | クラスタの一意のID |
| クラスタ・メンバー | このクラスタ内の時系列数 |
| 最小値 | 選択した間隔のこのクラスタの最小値 |
| 最大値 | 選択した間隔のこのクラスタの最大値 |
| 値 | 選択した間隔について、このクラスタに指定されたstatsファンクションの値
|
| 割合 | このクラスタ内のメンバー数で表されるグループの割合 |
| クラスタ・サンプル | クラスタのサンプルはほとんどありません。
ノート: 同様の動作を示すサンプルのみであるため、サンプルに表示される値よりも多くの値を指定できます。 |
timeclusterの構文とオプションは、timestatsコマンドと同様です。時系列チャートの構文および構成オプションの詳細は、リンク時系列構文の理解および時系列チャートの構成オプションを参照してください。
timeclusterを使用した時系列のプロットの例については、「時系列クラスタリング」を参照してください。