VMware Aria Operations for Logs允许您使用聚合查询来操控事件的可视化表示形式。

聚合查询包含以下两个属性:

  • 函数
  • 分组

聚合查询需要一个函数和至少一个分组。分组是内容包的一个重要部分。函数和分组可影响图表的显示方式。

图表显示仅限于 2,000 个最新的结果。

条形图

默认情况下,VMware Aria Operations for Logs的“交互式分析”页面中的概览图表显示一段时间内的事件计数。如果将计数函数与时间序列分组结合使用,则 VMware Aria Operations for Logs会创建一个条形图。

如果将计数函数与单个字段分组而不是时间序列结合使用,则 VMware Aria Operations for Logs会创建条形图,从图中可看出数量的变化分布情况。

线图

除计数函数之外的所有函数都是数学函数。它们需要一个字段,您将针对该字段应用等式。对字段执行数学函数并按时间序列分组时,VMware Aria Operations for Logs会创建一个线图。

堆栈图

默认情况下,VMware Aria Operations for Logs 的“浏览日志”页面中的概览图表显示一段时间内的事件计数。如果将一个字段添加到时间序列分组中,则 VMware Aria Operations for Logs会创建一个堆栈图。

如果使用按时间序列进行的分组以及字段,并使用除计数之外的任何函数,则VMware Aria Operations for Logs会创建堆栈线图。在尝试查找对象的异常情况时,堆栈图是非常强大的。

您必须根据聚合查询可能返回的对象数目来决定要使用哪种类型的堆栈图。显示更多对象需要更多资源,而这对解析并显示信息也是必要的。此外,颜色数目是固定的,区分各个对象可能变得具有挑战性,具体取决于返回对象的数目。通常,以下最佳做法适用

  • 如果每个条形中返回对象的数目少于十个,则您可能希望使用堆栈图。
  • 如果每个条形中返回对象的数目为十个或可能介于十到二十个之间,则堆栈图可能是非常合适的选择。您必须考虑在内容包中以直观的方式来表示图表。
  • 如果每个条形中返回对象的数目为二十个或可能多于二十个,则不建议使用堆栈图。

多色图

如果您通过使用多个字段和时间序列来创建分组,则VMware Aria Operations for Logs会创建一个多色图。此图包含两种可以互换的颜色。每次互换表示一个新的时间范围。多色图可能难以理解,因此,在将其纳入内容包之前,请仔细考虑此类图表的值。

在按多个字段进行分组时,请考虑使用非时间序列。移除时间序列使条形图更易于理解。

如果有多个字段对于给定时间范围都至关重要,则可以在此时间范围内单独为每个字段创建多个图表。然后,可以在内容包内仪表板组的同一列中显示这些图表。

其他图表

可以使用一些其他图表类型,包括饼图、气泡图和表格图。要使用这些图表,需要特定的查询类型。如果这些图表的选项可用,则表明已经具有正确的查询。如果这些图表的选项不可用,请将鼠标悬停在要使用的图表的名称上。此时将弹出一条消息,描述图表类型所需的查询类型。

消息查询

构建聚合查询时,消息查询应仅返回与此聚合查询相关的结果。这使分析变得更容易,且可确保结果仅显示相关字段。要确保消息查询返回与聚合查询相同的结果,必须使用 exists 运算符为聚合查询中使用的每一个字段添加筛选器。

更改图表类型

如果要更改仪表板上小组件的图表类型,请单击小组件上的齿轮图标,并选择编辑图表类型。如果要更改小组件类型,请保存新的小组件并删除旧的小组件。