正在加载

按位置映射异常

Elastic Stack Serverless

如果您的数据包含在 Elastic Maps Service (EMS) 中定义的矢量图层,则您的异常检测作业可以生成按位置显示异常的地图。

如果您想在 Data Visualizer 或异常检测作业结果中查看等值线地图,则必须具有包含有效矢量图层(例如 国家/地区代码邮政编码)的字段。

此示例使用示例 Web 日志数据集。有关更多信息,请参见添加示例数据

如果您有包含有效矢量图层的字段,则可以使用 Machine Learning 应用中的 Data Visualizer 来查看等值线地图,其中每个区域都根据其文档计数进行着色。 例如

A screenshot of a field that contains vector layer values in {{data-viz}}

要在 Kibana 中创建异常检测作业,请单击 Machine learning > Anomaly detection 页面上的 Create job,然后选择适当的作业向导。 或者,使用 创建异常检测作业 API

例如,使用多指标作业向导创建一个作业,该作业分析示例 Web 日志数据集以检测每个目标国家/地区(geo.dest 值)传输的数据总和(bytes 值)中的异常行为。

A screenshot of creating an {{anomaly-job}} using the web logs data in {{kib}}
API 示例 
 PUT _ml/anomaly_detectors/weblogs-vectors <1> {
  "analysis_config" : {
    "bucket_span":"15m",
    "detectors": [
      {
        "detector_description": "Sum of bytes",
        "function": "sum",
        "field_name": "bytes",
        "partition_field_name": "geo.dest"
      }
    ],
    "influencers": [
    "geo.src",
    "agent.keyword",
    "geo.dest"
    ]
  },
  "data_description" : {
    "time_field": "timestamp"
  },
  "datafeed_config": {
    "datafeed_id": "datafeed-weblogs-vectors",
    "indices": ["kibana_sample_data_logs"],
    "query": {
      "bool": {
        "must": [
          {
            "match_all": {}
          }
        ]
      }
    }
  }
}

POST _ml/anomaly_detectors/weblogs-vectors/_open

POST _ml/datafeeds/datafeed-weblogs-vectors/_start
{
  "end": "2021-07-15T22:00:00Z"
}
  1. 创建异常检测作业。
  2. 创建数据馈送。
  3. 打开作业。
  4. 启动数据馈送。 由于示例数据集通常包含晚于当前日期的时间戳,因此最好为数据馈送指定适当的结束日期。

异常检测作业处理一些数据后,您可以在 Kibana 中查看结果。

提示

如果您使用 API 创建作业和数据馈送,则在按照提示同步必要的已保存对象之前,您无法在 Kibana 中看到它们。

A screenshot of the anomaly count by location in Anomaly Explorer

Anomaly Explorer 包含一张地图,该地图受您的泳道选择的影响。 它会为每个位置着色,以反映该选定时间段内的异常数量。 异常较少的位置以蓝色指示; 异常多的位置为红色。 因此,您可以快速查看生成最多异常的位置。 如果您的矢量图层定义了地区、县或邮政编码,您可以放大以查看精细的细节。

© . All rights reserved.