正在加载

什么是 Elastic 机器学习?

Elastic Stack Serverless

机器学习功能分析您的数据并生成模型,用于分析数据的行为模式。您选择的分析类型取决于您想要解决的问题和您可用的数据类型。

有两种分析类型可以在没有训练或干预的情况下推断数据中的模式和关系:异常检测离群值检测

异常检测需要时间序列数据。它构建概率模型,并且可以持续运行以识别发生的不寻常事件。该模型会随时间演变;您可以使用它的见解来预测未来的行为。

离群值检测不需要时间序列数据。它是一种数据框分析,通过分析每个数据点与其他数据点的接近程度以及周围点的群集密度来识别数据集中的不寻常点。它不会持续运行;它生成数据集的副本,其中每个数据点都标有离群值分数。该分数表示数据点与其他数据点相比作为离群值的程度。

有两种类型的数据框分析需要训练数据集:分类回归

在这两种情况下,结果都是数据集的副本,其中每个数据点都标有预测值和训练模型,您可以部署该模型来对新数据进行预测。有关更多信息,请参阅监督学习简介

分类学习数据点之间的关系,以便预测离散的分类值,例如 DNS 请求是否来自恶意或良性域。

回归学习数据点之间的关系,以便预测连续的数值,例如 Web 请求的响应时间。

可用的机器学习功能因项目类型而异

  • Elasticsearch Serverless 项目具有训练好的模型。
  • 可观测性项目具有异常检测作业。
  • Elastic Security 项目具有异常检测作业、数据框分析作业和训练好的模型。

在 Kibana 中查看机器学习数据馈送、作业和训练好的模型之前,它们必须具有已保存的对象。例如,如果您使用 API 创建作业,请等待自动同步,或者转到“机器学习”页面并单击“同步已保存的对象”。

您可以在“机器学习”页面上导出和导入机器学习作业和数据馈送配置详细信息。例如,您可以从测试环境导出作业并在生产环境中导入它们。

导出的文件包含配置详细信息;它不包含机器学习模型。对于异常检测,您必须导入并运行该作业才能构建对新环境准确的模型。对于数据框分析,训练好的模型是可移植的;您可以导入作业,然后将模型传输到新集群。请参阅导出和导入数据框分析训练好的模型

在成功导入和运行作业之前,您必须执行一些其他操作

  • 异常检测数据馈送和数据框分析源索引使用的数据视图必须存在;否则,导入将失败。
  • 如果您的异常检测作业使用带有过滤器列表的自定义规则,则过滤器列表必须存在;否则,导入将失败。
  • 如果您的异常检测作业与日历相关联,则必须在新环境中创建日历并将导入的作业添加到日历中。
© . All rights reserved.