查看结果

Elastic Stack Serverless

在异常检测作业处理了一些数据后，您可以在 Kibana 中查看结果。

Kibana 中有两个工具用于检查异常检测作业的结果：**Anomaly Explorer（异常浏览器）** 和 **Single Metric Viewer（单指标查看器）**。

当您查看机器学习结果时，每个 bucket 都有一个异常得分。此得分是 bucket 中所有记录结果的综合异常性的统计聚合和标准化视图。

机器学习分析通过考虑连续的 bucket 来增强每个 bucket 的异常得分。这种额外的*多 bucket 分析*有效地使用滑动窗口来评估每个 bucket 中的事件，相对于最近事件的更大上下文。 当您查看机器学习结果时，会有一个 multi_bucket_impact 属性，指示最终异常得分受多 bucket 分析影响的程度。 在 Kibana 中，具有中等或高多 bucket 影响的异常在 **Anomaly Explorer（异常浏览器）** 和 **Single Metric Viewer（单指标查看器）** 中以交叉符号而不是点表示。 例如

×

在此示例中，您可以看到某些异常落在阴影蓝色区域内，该区域表示预期值的范围。 该范围是按 bucket 计算的，但多 bucket 分析不受该范围的限制。

**Anomaly Explorer（异常浏览器）** 和 **Single Metric Viewer（单指标查看器）** 都包含一个 **Anomalies（异常）** 表，其中显示了有关每个异常的关键详细信息，例如时间、典型值和实际值以及概率。 **Anomaly explanation（异常解释）** 部分通过提供有关其类型、影响和得分的更多见解，帮助您解释给定的异常。

如果您已将异常检测警报规则应用于异常检测作业，并且该规则已发生警报，则可以使用 **Anomaly timeline（异常时间线）**泳道和 **Alerts（警报）**面板在 **Anomaly Explorer（异常浏览器）**中查看警报与异常检测结果之间的相关性。**Alerts（警报）**面板包含一个折线图，显示随时间推移的警报计数。 折线图上的光标与异常泳道同步，从而更容易查看由警报产生的峰值导致的异常 bucket。 该面板还包含与作业选择关联的每个警报规则的聚合信息，例如所选作业和时间范围内处于活动状态、已恢复和未跟踪警报的总数。 当选择具有所选时间范围内警报的异常泳道单元格时，会显示警报上下文菜单。 上下文菜单包含所选时间 bucket 的警报计数器。

×

如果您有多个异常检测作业，您还可以获得*总体 bucket*结果，该结果将来自多个作业的异常组合并关联到总体得分中。 当您在 Kibana 中查看作业组的结果时，它会提供总体 bucket 得分。 有关更多信息，请参阅获取总体 bucket API。

Bucket 结果提供异常检测作业的顶级、总体视图，是警报的理想选择。 例如，bucket 结果可能表明在 16:05 系统不正常。 此信息是所有异常的摘要，精确地指出它们何时发生。 当您识别出异常的 bucket 时，可以通过检查相关的记录来进一步调查。

影响因素结果显示哪些实体何时异常。 对于影响 bucket 异常性的每个影响因素，每个 bucket 写入一个影响因素结果。 机器学习分析通过执行一系列实验来确定影响因素的影响，这些实验删除具有特定影响因素值的所有数据点，并检查 bucket 是否仍然异常。 这意味着只有对异常具有统计显着影响的影响因素才会报告在结果中。 对于具有多个检测器的作业，影响因素得分提供了最异常实体的强大视图。

例如，电子商务订单样本数据的 high_sum_total_sales 异常检测作业使用 customer_full_name.keyword 和 category.keyword 作为影响因素。 您可以使用获取影响因素 API检查影响因素结果。 或者，您可以使用 Kibana 中的 **Anomaly Explorer（异常浏览器）**

×

左侧是同一时间段内所有检测到的异常的顶级影响因素列表。 该列表包括最大异常得分，在本例中，最大异常得分针对每个 bucket 的每个影响因素在所有检测器中进行聚合。 还有每个影响因素的异常得分总和。 您可以使用此列表来帮助您缩小导致因素的范围，并专注于最异常的实体。

您还可以探索与影响因素的值相对应的泳道。 在此示例中，泳道与 customer_full_name.keyword 的值相对应。 默认情况下，泳道根据哪个实体具有最大异常得分值进行排序。 您可以单击泳道中的部分以查看有关在该时间间隔内发生的异常的详细信息。