LAのビジュアライゼーションの中には、リンク分析という特殊な分析手法があります。このリンク分析は、種類の異なるログ等を結び付けてグループ化することによって、例外的なパターンを監視して異常値を検出するなどの直感的なビジュアライゼーションを提供します。
具体的なユースケースは、ドキュメントにも記載があるのですが、実際に使用するには理解しずらいところも多いので今回はもう少し具体的に説明したいと思います。
まず、以下のリンク分析のスライドを見てください。例えば、Apache等のWebアクセスのログにはURLやデータ転送量などフィールドがありますが、URLでリンクするとそれぞれ3つのグループにサマリーされ件数がカウントされます。そして、Size(転送量)フィールドに平均を指定することでリンク時に平均を算出した新しいフィールドが生成されます。これらの値を縦・横軸、値に指定してチャートにプロットするというのが基本的なリンク分析のできることです
LAのダッシュボードの中には、リンク分析を使っているものが結構ありますので、サンプルログを使って、実際にリンク分析の画面を見てみたいと思います。
ダッシュボードにあるVCNフローログのリンク分析
前回の手順にてサンプルログを有効化し、時間を過去24時間に指定して、管理 -> ダッシュボードからVCNフローログをクリックする。
ダッシュボードの下部にあるのがリンク分析。これはVCNフローログの送信元と宛先のIPアドレスでリンク(サマリー)したもので、バブルの大きさが通信量を表している。一番大きいバブル(=最も通信量が多い)は、いつ頃、どの送信元から送信先のIPアドレスだったか、というのが一目でわかるようになっている。
右上のアイコンをクリックすると、この分析画面を構成している以下のログ・エクスプローラーの画面に遷移する。左側のグループ化基準には、リンクしているフィールドを表しており、Time, Source IP, Destination IPでリンクしている。
上部にある問い合わせのコマンドの内容を少し解説すると、
'Entity Type' = 'OCI VCN Virtual Network Interface Card' and 'Log Source' = 'OCI VCN Flow Unified Schema Logs' | eval VNIC = Entity | eval Bandwidth = 'Content Size Out' / (1024 * 1024) | link Time, 'Source IP', 'Destination IP' | stats avg(Bandwidth) as Bandwidth, unique('Source IP') as 'Source IP', unique('Destination IP') as 'Destination IP', unique(VNIC) as VNIC, avg('Destination Port') as 'Destination Port' | classify topcount = 300 correlate = -*, 'Destination IP', 'Destination Port' 'Start Time', 'Source IP', Bandwidth, VNIC as 'Network Analysis'
- evalは、新しいフィールドの生成を意味し、Content Size Outフィールドを1024*1024で割って算出した値をBandwidthに入れている
- Linkは、Time、Source IP、 Destination IPフィールドを指定
- statsは、サマリー統計に関する内容を意味し、Bandwidthを平均したものをasでリネーム、Souce IPを単一にしたものをasでリネームなどしている
- Classifyは、以下のバブルチャートにて設定した内容が反映されている
歯車アイコンをクリックすると、バブルチャートを構成している要素を確認できる。XY軸に設定しているフィールド、上記で指定したBandwidthが値に指定されているのが分かる。相関付けをしておくと、バブルにマウスオーバーした際に指定したフィールドの値が表示される。
まずは、リンク分析の特徴を漠然と理解した上で、次回は実際にリンク分析のユースケースを使って、一から分析画面を作成していく手順を紹介したいと思います。