ラボ 9 - 異なる期間のアクティビティの比較
このラボでは、LogCompare operator を使用して、2 つの期間のログ アクティビティを比較する方法について説明します。
LogCompare を使用すると、2 つの異なる期間から抽出したログ アクティビティを比較して、ベースラインと比べて現在のアクティビティがどうなっているかを見ることができます。ここでは、LogCompare を使用してシグネチャ メッセージがベースラインから 25% を超えて変動している時間を特定します。
-
まず、過去 15 分間の 404 ステータスのメッセージについての要約されたシグネチャを確認します (LogReduce を使用します)。
_sourceCategory=Labs/Apache/Access and status_code=404
| logreduce
-
次に LogCompare を使用して、24 時間前のベースラインについて要約したクエリを実行します ([LogCompare] ボタンをクリックします)。
_sourceCategory=Labs/Apache/Access and status_code=404
| logcompare timeshift -24h
-
デルタ パーセント値が 25% を超えている結果のみを表示するため、_deltaPercentage に where 句を追加します。
_sourceCategory=Labs/Apache/Access and status_code=404
| logcompare timeshift -24h
| where abs(_deltaPercentage) > 25
-
現在の期間で新しいシグネチャを含む結果を表示するため、_isNew に where 句を追加します。
_sourceCategory=Labs/Apache/Access and status_code=404
| logcompare timeshift -24h
| where (_isNew)