函数参考

机器学习功能包括分析函数，这些函数提供了多种灵活的方式来分析数据中的异常。

当您创建异常检测任务时，您需要指定一个或多个检测器，这些检测器定义了需要完成的分析类型。如果您使用机器学习 API 创建任务，则需要在检测器配置对象中指定函数。如果您在 Kibana 中创建任务，则需要根据您是创建单指标、多指标还是高级任务来以不同的方式指定函数。

大多数函数检测低值和高值中的异常。在统计学术语中，它们应用双边检验。某些函数提供低值和高值变体（例如，count、low_count 和 high_count）。这些变体应用单边检验，仅当值较低或较高时才检测异常，具体取决于所使用的替代方案。

您可以为除 metric 以外的任何函数指定 summary_count_field_name。当您使用 summary_count_field_name 时，机器学习功能会期望输入数据是预先聚合的。summary_count_field_name 字段的值必须包含汇总的原始事件的计数。在 Kibana 中，在高级异常检测任务中使用 summary_count_field_name。分析聚合的输入数据可以显著提高性能。有关详细信息，请参阅聚合数据以提高性能。

如果您的数据稀疏，则数据中可能存在空白，这意味着您可能有空桶。您可能希望将这些视作异常，或者您可能希望忽略这些空白。您的决定取决于您的用例以及对您来说什么重要。这也取决于您使用的函数。sum 和 count 函数受空桶的影响很大。因此，有 non_null_sum 和 non_zero_count 函数，它们可以容忍稀疏数据。这些函数有效地忽略了空桶。