VMware Aria Operations for Logs에서 집계 쿼리를 사용하여 이벤트의 시각적 표시를 조작할 수 있습니다.
집계 쿼리는 다음 두 가지 특성으로 구성됩니다.
- 기능
- 그룹화
집계 쿼리에는 하나의 함수와 하나 이상의 그룹화가 필요합니다. 그룹화는 컨텐츠 팩의 중요한 부분입니다. 함수와 그룹화는 차트가 표시되는 방식에 영향을 미칩니다.
차트 표시는 2,000개의 가장 최근 결과로 제한됩니다.
막대형 차트
기본적으로, VMware Aria Operations for Logs의 대화형 분석 페이지에 있는 개요 차트는 시간 경과에 따른 이벤트 개수를 표시합니다. 시계열 그룹화와 함께 count 함수를 사용하는 경우 VMware Aria Operations for Logs는 막대형 차트를 생성합니다.
시계열 대신 단일 필드 그룹화와 함께 count 함수를 사용하는 경우 VMware Aria Operations for Logs는 최대 수부터 최소 수까지 차례대로 나열되는 막대형 차트를 생성합니다.
꺾은선형 차트
count 함수를 제외한 모든 함수는 수학입니다. 이러한 함수를 사용하려면 수식을 적용하는 필드가 필요합니다. 필드에서 수학 함수를 수행하고 시계열로 그룹화하는 경우, VMware Aria Operations for Logs는 꺾은선형 차트를 생성합니다.
누적형 차트
기본적으로, VMware Aria Operations for Logs의 로그 탐색 페이지에 있는 개요 차트는 시간 경과에 따른 이벤트 개수를 표시합니다. 시계열 그룹화에 필드 하나를 추가하면 VMware Aria Operations for Logs는 누적형 차트를 생성합니다.
시계열로 그룹화를 사용하고 필드를 더하고 count를 제외한 함수를 사용하면 VMware Aria Operations for Logs는 누적 꺾은선형 차트를 생성합니다. 개체에 대한 예외 사항을 찾으려고 시도할 때 누적형 차트는 강력한 기능을 발휘합니다.
집계 쿼리가 반환할 수 있는 개체 수를 기준으로, 사용할 누적형 차트 유형을 결정해야 합니다. 더 많은 개체를 표시하려면 구문 분석하고 정보를 표시하는 데 필요한 리소스가 더 많이 요구됩니다. 또한, 색상 수는 고정되어 있으므로, 반환되는 개체 수에 따라 개체 간 구분이 어려워질 수 있습니다. 일반적으로 다음 모범 사례가 적용됩니다
- 각 막대에서 반환되는 개체 수가 10개 미만인 경우 누적형 차트를 사용할 수 있습니다.
- 각 막대에서 반환되는 개체 수가 10-20개 사이이거나 이 사이일 수 있는 경우 누적형 차트가 괜찮을 수 있습니다. 컨텐츠 팩에서 차트를 시각적으로 표시할 방법을 고려해야 합니다.
- 각 막대에서 반환되는 개체 수가 20개를 넘거나 넘을 수 있는 경우 누적형 차트를 사용하지 않는 것이 좋습니다.
여러 색상 차트
두 개 이상의 필드 및 시계열을 사용하여 그룹화를 생성하는 경우 VMware Aria Operations for Logs는 다중 색상 차트를 생성합니다. 차트는 교환 가능한 두 가지 색상으로 구성되어 있습니다. 각각의 교환은 새로운 시간 범위를 나타냅니다. 다중 색상 차트는 해석하기 어려울 수 있으므로 컨텐츠 팩에 이 차트를 포함시키기 전에 해당 차트의 값의 고려하십시오.
여러 필드로 그룹화를 만드는 경우 비시계열 사용을 고려하십시오. 시계열을 제거하면 막대형 차트를 이해하기가 훨씬 더 쉽습니다.
지정된 시간 범위에서 여러 필드가 중요한 경우, 시간 범위에서 개별적으로 각 필드에 대해 여러 차트를 생성할 수 있습니다. 그런 다음 컨텐츠 팩에서 대시보드 그룹의 동일한 열에 차트를 표시할 수 있습니다.
그 밖의 차트
원형, 거품형 및 표 차트를 비롯한 몇 가지 다른 차트 유형을 사용할 수 있습니다. 이러한 차트를 사용하려면 특정 쿼리 유형이 필요합니다. 이러한 차트 옵션을 사용할 수 있는 경우 정확한 쿼리가 이미 있다는 의미입니다. 이러한 차트 옵션을 사용할 수 없는 경우 사용할 차트 이름 위로 마우스 커서를 이동합니다. 팝업 메시지에는 차트 유형에 필요한 쿼리 유형이 설명되어 있습니다.
메시지 쿼리
집계 쿼리 구성 시, 메시지 쿼리는 집계 쿼리와 관련된 결과만 반환해야 합니다. 그러면 분석하기가 더 쉽고 결과가 관련 필드만 표시하도록 보장됩니다. 메시지 쿼리가 집계 쿼리로 동일한 결과를 반환하도록 보장하려면, 집계 쿼리에 사용되는 각 필드에 대해 exists 연산자를 사용하여 필터를 추가해야 합니다.
차트 유형 변경
대시보드에서 위젯의 차트 유형을 변경하려는 경우 위젯의 톱니 바퀴 아이콘을 클릭하고 차트 유형 편집을 선택합니다. 위젯 유형을 변경하려는 경우 새 위젯을 저장하고 기존 위젯을 삭제하면 됩니다.