开启日志聚类后,您可以在日志聚类页签中进行日志聚类和查看聚类结果。本文介绍支持在日志聚类页签对日志进行的常用操作。
日志聚类界面
日志聚类功能支持在采集日志时,将相似度高的日志聚合,提取共同的日志模式(Pattern),快速掌握日志全貌。您还可以将聚类结果以分析图表的形式保存在仪表盘中,实时查看聚类数据。更多信息,请参见日志聚类。
开启日志聚类
在日志聚类页签,单击开启日志聚类。
在开启日志聚类对话框,单击确认。
开启后等待1分钟左右,即可对新写入的数据进行日志聚类。
查看聚类结果和原始日志
在审计日志页面,输入查询语句,设置查询时间范围,然后单击查询/分析。
说明此处仅支持输入查询语句来过滤日志,但不支持分析语句,即不能对分析结果进行日志聚类。
单击日志聚类页签,查看聚类结果。
参数 说明 Number 聚类序号。 Count 当前指定的查询时间段内,某Pattern对应的日志条数。 Pattern 某类日志的具体模式,每个聚类会有一个或多个子Pattern。 - 鼠标指向Count列的数字,在悬浮框展示当前聚类的子Pattern及每个子Pattern的占比。单击数字前的加号(+),展开子Pattern列表。
- 单击Count列的数字,跳转到原始日志页签,查看对应pattern的原始日志。
调整聚类精度
在日志聚类页签中,拖拽Pattern分类中的滑动条,调整聚类的精度。
- 聚类偏向于多,表示聚类结果分类细,Pattern细节被保留的多。
- 聚类偏向于少,表示聚类结果分类粗,Pattern细节被隐藏的多。
对比不同时间段的聚类日志数量
在日志聚类页签,单击Log Compare。
设置对比时间,单击确定。
例如:在执行查询操作时,时间范围选择为15分钟。在Log Compare中,选择1天,则自动显示开始时间和结束时间,时间范围为1天前的15分钟。
参数 说明 Number 聚类编号。 Pre_Count 在Log Compare中设置的时间段内,该Pattern对应的日志数量。 Count 当前指定的查询时间段内,某模式对应的日志条数。 Diff 某模式在两个时段的日志数量差值及升降百分比。 Pattern 某类日志的具体模式。
添加日志聚类结果到仪表盘
仪表盘是实时数据的分析大盘。您可以将日志聚类结果以图表形式保存到仪表盘中。
在日志聚类页签,单击添加到仪表盘。
在添加到仪表盘对话框,根据需要新建仪表盘或者选择已有仪表盘。
新建仪表盘
选择操作类型为新建仪表盘。
选择布局模式为网格布局或者自由布局。
填写仪表盘名称和图表名称。
选择已有仪表盘
选择操作类型为添加到已有仪表盘。
选择已有仪表盘和填写图表名称。
单击确认。
文档内容是否对您有帮助?