查看异常检测作业结果

在异常检测作业处理了一些数据后，您可以在 Kibana 中查看结果。

Kibana 中有两种工具可以检查异常检测作业的结果：异常浏览器 和 单指标查看器。

当您查看机器学习结果时，每个桶都有一个异常分数。此分数是桶中所有记录结果的组合异常性的统计聚合和标准化视图。

机器学习分析通过考虑连续的桶来增强每个桶的异常分数。这种额外的多桶分析有效地使用滑动窗口来评估每个桶中的事件相对于最近事件的更大上下文。当您查看机器学习结果时，有一个 multi_bucket_impact 属性，它指示最终异常分数受多桶分析影响的程度。在 Kibana 中，具有中等或高多桶影响的异常在 异常浏览器 和 单指标查看器 中用交叉符号而不是点来描绘。例如

在此示例中，您可以看到一些异常落在蓝色阴影区域内，该区域表示预期值的边界。边界是按桶计算的，但多桶分析不受该范围的限制。

异常浏览器 和 单指标查看器 都包含一个 异常 表，该表显示有关每个异常的关键详细信息，例如时间、典型值和实际值以及概率。异常解释 部分通过提供有关其类型、影响和分数的更多见解，帮助您解释给定的异常。

如果您的异常检测作业应用了异常检测警报规则，并且该规则发生了警报，您可以使用 异常时间线泳道和 警报 面板，查看警报与 异常浏览器 中的异常检测结果之间的关联性。警报面板包含一个折线图，其中显示了随时间推移的警报计数。折线图上的光标与异常泳道同步，从而更容易查看由警报产生的峰值的异常桶。该面板还包含与作业选择关联的每个警报规则的聚合信息，例如所选作业和时间范围内活动的、已恢复的和未跟踪的警报总数。当在选定时间范围内有警报时，选择异常泳道单元格时会显示警报上下文菜单。上下文菜单包含所选时间桶的警报计数器。

如果您有多个异常检测作业，您还可以获得整体桶结果，这些结果将来自多个作业的异常组合并关联到整体分数中。当您在 Kibana 中查看作业组的结果时，它会提供整体桶分数。有关更多信息，请参阅获取整体桶 API。

桶结果提供了异常检测作业的顶级、整体视图，非常适合用于警报。例如，桶结果可能表明在 16:05 系统不寻常。此信息是所有异常的摘要，精确地指出了它们发生的时间。当您识别出异常桶时，您可以通过检查相关的记录来进一步调查。

影响因素结果显示哪些实体在何时异常。对于影响桶异常性的每个影响因素，每个桶写入一个影响因素结果。机器学习分析通过执行一系列实验来确定影响因素的影响，这些实验会删除具有特定影响因素值的所有数据点，并检查桶是否仍然异常。这意味着只有对异常具有统计显着影响的影响因素才会报告在结果中。对于具有多个检测器的作业，影响因素分数提供了对最异常实体的强大视图。

例如，电子商务订单样本数据的 high_sum_total_sales 异常检测作业使用 customer_full_name.keyword 和 category.keyword 作为影响因素。您可以使用获取影响因素 API 来检查影响因素结果。或者，您可以使用 Kibana 中的 异常浏览器

左侧是在同一时间段内检测到的所有异常的顶级影响因素列表。该列表包括最大异常分数，在本例中，这些分数针对每个桶、跨所有检测器为每个影响因素聚合。每个影响因素还有一个异常分数的总和。您可以使用此列表来帮助您缩小影响因素，并专注于最异常的实体。

您还可以浏览与影响因素值相对应的泳道。在此示例中，泳道与 customer_full_name.keyword 的值相对应。默认情况下，泳道根据哪个实体具有最大异常分数进行排序。您可以单击泳道中的部分以查看有关在该时间间隔内发生的异常的详细信息。