正在加载

创建异常检测规则

注意

需要 Editor 角色或更高的角色才能创建异常检测规则。要了解更多信息,请参阅分配用户角色和权限

重要事项

异常检测告警为 Beta 版

异常检测告警功能为 Beta 版,可能会发生变化。其设计和代码不如正式发布的正式功能成熟,并且按原样提供,不提供任何保证。

创建异常检测规则以检查一个或多个异常检测作业中的异常。如果满足规则的条件,则会创建警报,并触发规则中指定的任何操作。例如,您可以创建一个规则,每 15 分钟检查一次关键异常,然后在检测到这些异常时通过电子邮件通知您。

要创建异常检测规则

  1. 在您的 Elastic Observability Serverless 项目中,转到 Machine learningJobs

  2. 在异常检测作业列表中,找到要检查异常的作业。还没有创建作业?现在创建一个

  3. 从作业旁边的 操作 菜单中,选择 创建告警规则

  4. 为规则指定名称和可选标签。您稍后可以使用这些标签来过滤警报。

  5. 验证是否选择了正确的作业并配置告警详细信息

    Anomaly detection alert settings

  6. 对于结果类型

    选择……​ 以生成基于……​的警报
    存储桶 在时间存储桶中异常有多不寻常
    记录 时间范围内存在哪些单独的异常
    影响者 时间范围内最不寻常的实体

  7. 调整 严重性 以匹配将触发操作的异常评分。异常评分指示给定异常相对于先前异常的重要性。默认严重性阈值为 75,这意味着异常评分 75 或更高的每个异常都会触发关联的操作。

  8. (可选)开启 包括临时结果 以包括在存储桶最终确定之前由异常检测作业创建的结果。这些结果可能会在存储桶完全处理后消失。如果您希望在即使可能是误报的情况下也能尽早收到有关潜在异常的通知,请包括临时结果。

  9. (可选)展开并更改 高级设置

    设置 描述
    回溯间隔 用于在每次条件检查期间查询先前异常的间隔。将回溯间隔设置为低于默认值可能会导致错过异常。
    最新存储桶数 要检查的存储桶数,以从在回溯间隔期间找到的所有异常中获得最高异常。警报是根据来自最异常存储桶的具有最高异常评分的异常创建的。

  10. (可选)在 以间隔检查规则条件 下,指定一个间隔,然后单击 测试 以使用指定的间隔检查规则条件。如果数据馈送未启动,则该按钮将灰显。要测试该规则,请启动数据馈送。

  11. (可选)如果要更改评估条件的频率,请调整 检查频率 设置。

  12. (可选)设置 操作

  13. 保存 您的规则。

注意

异常检测规则定义为作业的一部分。由这些规则生成的警报不会显示在 警报 页面上。

您可以使用与第三方系统交互、写入日志或索引或发送用户通知的操作来扩展规则。您可以随时将操作添加到规则。您可以在不添加操作的情况下创建规则,也可以为单个规则定义多个操作。

要向规则添加操作,您必须首先为该服务创建一个连接器(例如,电子邮件或外部事件管理系统),然后您可以将其用于不同的规则,每个规则都有自己的操作频率。

连接器类型

连接器提供了一个中心位置来存储用于与第三方系统进行服务和集成的连接信息。在定义告警规则的操作时,可以使用以下连接器

注意

某些连接器类型是付费商业功能,而另一些是免费的。有关 Elastic 订阅级别的比较,请转到 订阅页面

有关创建连接器的更多信息,请参阅连接器

操作频率

选择连接器后,您必须设置操作频率。您可以选择在每个检查间隔或自定义间隔上创建 警报摘要。例如,您可以发送电子邮件通知,以总结每十二个小时的新警报、正在进行的警报和已恢复的警报。

或者,您可以将操作频率设置为 对于每个警报,并指定每个警报必须满足哪些条件才能运行该操作。例如,您可以仅在警报状态更改为严重时才发送电子邮件。

Configure when a rule is triggered

使用 运行时 菜单,您可以选择操作是在异常评分匹配条件时运行还是在恢复时运行。例如,您可以为每个状态添加一个相应的操作,以确保在异常评分匹配且恢复时收到警报。

Choose between anomaly score matched condition or recovered
操作变量

使用默认通知消息或自定义消息。您可以通过单击添加变量图标Add variable并从可用变量列表中进行选择,从而向消息添加更多上下文。

Action variables list

以下变量特定于此规则类型。您还可以指定所有规则通用的变量

context.anomalyExplorerUrl
在异常浏览器中打开的 URL。
context.isInterim
指示点击次数最多的内容是否包含临时结果。
context.jobIds
触发警报的作业 ID 列表。
context.message
警报信息消息。
context.score
通知操作时的异常评分。
context.timestamp
异常的存储桶时间戳。
context.timestampIso8601
ISO8601 格式的异常的存储桶时间戳。
context.topInfluencers

点击次数最多的影响者列表。属性包括

influencer_field_name

影响者的字段名称。

influencer_field_value

影响、促成或应为异常负责的实体。

score

影响者评分。0-100 之间的标准化评分,显示了影响者对异常的总体贡献。
context.topRecords

点击次数最多的记录列表。属性包括

actual

存储桶的实际值。

by_field_value

by 字段的值。

field_name

某些函数需要一个字段才能运行,例如,sum()。对于这些函数,此值是要分析的字段的名称。

function

detector 配置中指定的异常发生的函数。例如,max

over_field_name

用于拆分数据的字段。

partition_field_value

用于分段分析的字段。

score

0-100 之间的标准化评分,该评分基于此记录的异常概率。

typical

根据分析建模,存储桶的典型值。

要编辑异常检测规则

  1. 在您的 Elastic Observability Serverless 项目中,转到 Machine learningJobs
  2. 展开使用您要编辑的规则的作业。
  3. 作业设置 选项卡的 告警规则 下,单击规则以对其进行编辑。
© . All rights reserved.