按位置映射异常
编辑按位置映射异常
编辑如果您的数据包含在 Elastic Maps Service (EMS) 中定义的矢量图层,您的异常检测作业可以生成按位置显示的异常地图。
先决条件
编辑如果要在 Data Visualizer 或异常检测作业结果中查看等值线地图,您必须具有包含有效矢量图层的字段(例如 国家/地区代码 或 邮政编码)。
此示例使用示例 Web 日志数据集。有关更多信息,请参阅 添加示例数据。
浏览您的数据
编辑如果您具有包含有效矢量图层的字段,则可以使用 Machine Learning 应用中的 Data Visualizer 查看等值线地图,其中每个区域都根据其文档计数进行着色。 例如
创建异常检测作业
编辑要在 Kibana 中创建异常检测作业,请单击 机器学习 > 异常检测 页面上的 创建作业,然后选择适当的作业向导。或者,使用 创建异常检测作业 API。
例如,使用多指标作业向导创建一个作业,分析示例 Web 日志数据集以检测每个目标国家/地区的已传输数据总和(bytes 值)中的异常行为(geo.dest 值)
API 示例
PUT _ml/anomaly_detectors/weblogs-vectors { "analysis_config" : { "bucket_span":"15m", "detectors": [ { "detector_description": "Sum of bytes", "function": "sum", "field_name": "bytes", "partition_field_name": "geo.dest" } ], "influencers": [ "geo.src", "agent.keyword", "geo.dest" ] }, "data_description" : { "time_field": "timestamp" }, "datafeed_config": { "datafeed_id": "datafeed-weblogs-vectors", "indices": ["kibana_sample_data_logs"], "query": { "bool": { "must": [ { "match_all": {} } ] } } } } POST _ml/anomaly_detectors/weblogs-vectors/_open POST _ml/datafeeds/datafeed-weblogs-vectors/_start { "end": "2021-07-15T22:00:00Z" }
分析结果
编辑异常检测作业处理一些数据后,您可以在 Kibana 中查看结果。
如果您使用 API 创建作业和数据馈送,则在您按照提示同步必要的已保存对象之前,您无法在 Kibana 中看到它们。
异常浏览器包含一张地图,该地图受您的泳道选择的影响。它会为每个位置着色,以反映在该选定时间段内发生的异常数量。异常较少的位置以蓝色表示;异常较多的位置以红色表示。因此,您可以快速查看产生最多异常的位置。如果您的矢量图层定义了区域、县或邮政编码,您可以放大以查看详细信息。