今回は、LAの主要な分析方法であるクラスタ分析について説明します。まず、以下のスライドを見て頂きたいのですが、クラスタ分析は大量にあるログのレコードをグルーピング化して表示するという機能です。
特に、ログのフォーマットが定型でないようなLinuxのsyslogやデータベースのアラートログなどには効果を発揮し、大量のログレコードの傾向やその中に埋もれてしまうような僅かなレコードを見つけ出しやすくなります。クラスタ分析のタブには、潜在的な問題や外れ値、トレンドが用意されているのでこちらも便利です。
では、実際にサンプルログのデータを使って試してみます。
クラスタ分析
前回の手順にてサンプルログを有効化し、時間を過去24時間に指定して、Linux Syslog Logsをクリックし、ビジュアライゼーションからクラスタを選択する。
全部で2396レコードあるSyslogが374にクラスタ化される。カウントの△をクリックで降順に変更し、レコードの多いクラスタを確認する。
潜在的な問題は、errorやfailedなどのネガティブワードを抽出する。
外れ値は1件しかないレコードを抽出する。
トレンドはログの出力推移を表し、類似したトレンドがある場合はクリックすると、
以下のように、似たような出力傾向のあるログレコードが表示される。これは、問題の起点を調査する場合などに役立つことも多く、OS、MiddlewareやDB等の異なるログを合わせてクラスタ分析するなどの使い方もおすすめ。
別のログのクラスタ分析を見る場合は、フィールドのLog Sourceのクリアをクリックし、再度Log SourceをクリックしてDatabase Alert Logsをクリックする。Alertログは、1920レコード -> 123クラスタとなる
同様な手順でOCI VCN Flow Unified Schema Logsのログを選択してみる。VNC Flowログは、ログのフォーマットがほぼ固定なので、ログの件数が多くなっても最大で2クラスタにしかならない。
クラスタ比較
クラスタには、ベースラインとの比較するという機能がある。アクションの新規作成からLinux Syslog Logsを選択し、時間を過去8時間にする。クラスタ分析内にあるクラスタ比較をクリックする。
ベースラインが8時間になっていることを確認する。
クラスタ比較のサマリーが表示される。これは前後8時間で共通のクラスタが15個あり、それらのクラスタを省いてそれぞれの時間帯にしかないクラスタをラジオボタンで切り替えて確認することができる。サンプルログが24時間分しかないので今回は8時間に指定したが、ベースラインのスケールは日、週、月など期間を長くして比較することも可能。
クラスタ分析は、ざっくりとログの全体像やトレンドが掴みやすく、ログを詳細に詰めて分析していく前段の段階で有効な手法です。LAは、1か月あたり数テラバイトのログを収集することも珍しくはないので、クラスタ分析は膨大なログを短時間・省労力で可視化するための機能として欠かせないものになっています。
次回は、LA機能でも理解しずらいリンク分析について紹介します。