VMware Aria Operations for Logs 可讓您使用彙總查詢操縱事件的視覺表示。
彙總查詢由下列兩個屬性組成:
- 函數
- 群組
彙總查詢需要一個函數和至少一個群組。群組是內容套件的重要組成部分。函數和群組會影響圖表的顯示方式。
圖表中最多可顯示 2,000 個最近的結果。
橫條圖
依預設,VMware Aria Operations for Logs 的 [互動式分析] 頁面上的概觀圖表顯示隨著時間變更的事件計數。如果您同時使用計數函數和時間序列群組,則 VMware Aria Operations for Logs 會建立橫條圖。
如果您同時使用計數函數和單一欄位群組 (而非時間序列群組),則 VMware Aria Operations for Logs 會建立橫條圖,並在圖表中按最高到最低的順序列出數量。
折線圖
除計數函數之外的所有函數都是數學函數。它們需要可在其中套用方程式的欄位。如果在欄位上執行數學函數並按時間序列分組,則 VMware Aria Operations for Logs 會建立折線圖。
堆疊圖
依預設,VMware Aria Operations for Logs 的 [探索記錄] 頁面上的概觀圖表表示隨著時間變化的事件計數。如果您將一個欄位新增至時間序列群組,則 VMware Aria Operations for Logs 會建立堆疊圖。
如果您使用按時間序列分組,再加上一個欄位,並使用除計數函數之外的任何函數,VMware Aria Operations for Logs 會建立堆疊折線圖。堆疊圖在嘗試尋找物件的異常時十分實用。
您必須以彙總查詢可能傳回的物件數為基礎,決定使用哪種類型的堆疊圖。顯示的物件越多,需要用於剖析和顯示資訊的資源也就越多。此外,色彩的數目是固定的,區分物件亦可能視傳回的物件數目而變得困難。一般而言,下列最佳做法較適用
- 如果每個長條中傳回的物件數均小於十,則您可能需要使用堆疊圖。
- 如果每個長條中傳回的物件數均介於或可能介於十到二十之間,則堆疊圖是較好的選擇。您必須考慮如何在內容套件中直覺地表示圖表。
- 如果每個長條中傳回的物件數均大於或可能大於二十,則不建議使用堆疊圖。
多色圖
如果使用多個欄位和時間序列來建立群組,則 VMware Aria Operations for Logs 會建立多色圖。該圖表包括兩種可交換的顏色。每次交換均表示新的時間範圍。多色圖表難於理解,因此,將此圖表包含在內容套件之前,請先考慮此圖表的價值。
當您按多個欄位進行分組時,請考慮使用非時間序列。移除時間序列會使橫條圖更易於理解。
如果多個欄位在指定時間範圍內非常重要,則您可以為每個欄位個別建立隨著時間範圍變更的多個圖表。然後您可以將這些圖表顯示在內容套件中儀表板群組的相同資料行中。
其他圖表
有數個其他類型的圖表可供使用,包括圓形圖、泡泡圖和資料表圖。若要使用這些圖表,需要特定查詢類型。如果這些圖表的選項可用,表示您已有正確的查詢。如果這些圖表的選項無法使用,請將游標暫留在要使用的圖表名稱上。快顯訊息會說明圖表類型所需的查詢類型。
訊息查詢
建構彙總查詢時,訊息查詢應僅傳回與彙總查詢相關的結果。這會讓分析變得更簡單,並確保結果僅顯示相關欄位。若要確保訊息查詢傳回與彙總查詢相同的結果,您必須使用 exists 運算子為彙總查詢中使用的每個欄位新增篩選條件。
變更圖表類型
如果要變更儀表板上 Widget 的圖表類型,請按一下 Widget 上的齒輪圖示,然後選取編輯圖表類型。如果要變更 Widget 類型,請儲存新的 Widget 並刪除舊 Widget。