为异常检测作业生成告警

创建异常检测告警规则时，必须选择规则所应用的作业。

您还必须选择一种机器学习结果类型。特别是，您可以根据存储桶、记录或影响因子结果创建规则。

对于每个规则，您可以配置触发操作的 anomaly_score。anomaly_score 表示给定异常相对于先前异常的显著性。默认严重性阈值为 75，这意味着 anomaly_score 为 75 或更高的每个异常都会触发关联的操作。

您可以选择是否要包括临时结果。临时结果是在存储桶最终确定之前由异常检测作业创建的。这些结果可能会在存储桶完全处理后消失。如果您希望更早地收到有关潜在异常的通知（即使它可能是误报），请包括临时结果。如果您只想收到有关完全处理的存储桶的异常通知，则不要包括临时结果。

您还可以配置高级设置。回溯间隔设置一个间隔，该间隔用于在每次条件检查期间查询之前的异常。默认情况下，其值源自作业的存储桶跨度和数据馈送的查询延迟。不建议将回溯间隔设置得低于默认值，因为它可能导致遗漏异常。最新存储桶数设置要检查多少个存储桶，以从回溯间隔期间找到的所有异常中获得最高异常。告警是基于最异常的存储桶中异常分数最高的异常创建的。

您还可以针对现有数据测试配置的条件，并通过为数据提供有效间隔来检查示例结果。生成的预览包含您定义的相对时间范围内可能创建的告警数量。

在规则创建过程的最后一步中，定义其操作。

创建异常检测作业运行状况规则时，必须选择规则所应用的作业或组。如果您向该组分配了更多作业，则会在下次检查规则条件时将其包括在内。

您还可以使用特殊字符（*）将规则应用于所有作业。在规则之后创建的作业会自动包括在内。您可以使用排除字段排除不重要的作业。

启用您想要应用的运行状况检查类型。默认情况下，所有检查都处于启用状态。必须启用至少一个检查才能创建规则。以下运行状况检查可用：

在规则创建过程的最后一步中，定义其操作。

您可以选择在满足规则条件时以及不再满足规则条件时发送通知。特别是，这些规则支持：

每个操作都使用一个连接器，该连接器存储 Kibana 服务或支持的第三方集成的连接信息，具体取决于您想要将通知发送到哪里。例如，您可以使用 Slack 连接器向频道发送消息。或者，您可以使用索引连接器将 JSON 对象写入特定索引。有关创建连接器的详细信息，请参阅连接器。

选择连接器后，必须设置操作频率。您可以选择在每次检查间隔或自定义间隔时创建告警摘要。例如，发送 Slack 通知，汇总新的、正在进行的和已恢复的告警

或者，您可以设置操作频率，以便操作针对每个告警运行。选择操作运行的频率（在每个检查间隔、仅当告警状态更改时或在自定义操作间隔）。对于异常检测告警规则，您还必须选择操作是在异常分数与条件匹配时运行还是在告警恢复时运行

在异常检测作业运行状况规则中，选择操作是在检测到问题时运行还是在问题恢复时运行

您可以通过指定操作仅在它们匹配 KQL 查询时或在特定时间范围内发生告警时运行来进一步优化规则。

有一组变量可用于自定义每个操作的通知消息。单击消息文本框上方的图标以获取变量列表，或参阅操作变量。例如

保存配置后，该规则将显示在 Stack Management > 规则 列表中；您可以检查其状态并查看其配置信息的概述。

当异常检测告警规则发生告警时，其名称始终与触发该告警的相关异常检测作业的作业 ID 相同。您可以使用异常浏览器中的异常时间线泳道和告警面板，查看发生的告警如何与异常检测结果相关联。

如有必要，您可以暂停规则以防止它们生成操作。有关更多详细信息，请参阅暂停和禁用规则。

以下变量是机器学习规则类型特有的。星号（*）标记您可以在与已恢复告警相关的操作中使用的变量。

您还可以指定所有规则通用的变量。