附录 M:度量函数
编辑附录 M:度量函数
编辑度量函数包括诸如平均值、最小值和最大值之类的函数。这些值是针对每个存储桶计算的。无法转换为双精度浮点数的字段值将被忽略。
机器学习功能包括以下度量函数
您不能向使用 度量 函数的检测器添加带有条件的规则。
最小值
编辑最小值函数检测值的算术最小值中的异常。最小值是针对每个存储桶计算的。
高侧和低侧函数不适用。
此函数支持以下属性
-
field_name(必需) -
by_field_name(可选) -
over_field_name(可选) -
partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
示例 1:使用最小值函数分析最小交易额。
{
"function" : "min",
"field_name" : "amt",
"by_field_name" : "product"
}
如果您在异常检测作业中的检测器中使用此 最小值 函数,它会检测到最小交易额低于之前观察到的情况。您可以使用此函数来检测由于数据输入错误而以意外低价出售的商品。它会随着时间的推移对每种产品的最小金额进行建模。
最大值
编辑最大值函数检测值的算术最大值中的异常。最大值是针对每个存储桶计算的。
高侧和低侧函数不适用。
此函数支持以下属性
-
field_name(必需) -
by_field_name(可选) -
over_field_name(可选) -
partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
示例 2:使用最大值函数分析最大响应时间。
{
"function" : "max",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 最大值 函数,它会检测到最长的 响应时间 长于之前观察到的情况。您可以使用此函数来检测具有异常长的 响应时间 值的应用程序。它会随着时间的推移对每个应用程序的最大 响应时间 进行建模,并检测到最长的 响应时间 与之前的应用程序相比异常长的情况。
示例 3:具有最大值和高_平均值函数的两个检测器。
{
"function" : "max",
"field_name" : "responsetime",
"by_field_name" : "application"
},
{
"function" : "high_mean",
"field_name" : "responsetime",
"by_field_name" : "application"
}
可以使用应用程序的 高_平均值 函数并行执行前面示例中的分析。通过组合检测器并使用相同的影响因素,此作业可以检测到每个存储桶异常长的单个响应时间和平均响应时间。
中位数、高_中位数、低_中位数
编辑中位数函数检测值的统计中位数中的异常。中位数是针对每个存储桶计算的。
如果您想监控异常高的中位数,请使用 高_中位数 函数。
如果您只对异常低的中位数感兴趣,请使用 低_中位数 函数。
这些函数支持以下属性
-
field_name(必需) -
by_field_name(可选) -
over_field_name(可选) -
partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
示例 4:使用中位数函数分析响应时间。
{
"function" : "median",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 中位数 函数,它会随着时间的推移对每个应用程序的 响应时间 中位数进行建模。它会检测到 响应时间 中位数与之前的 响应时间 值相比不寻常的情况。
平均值、高_平均值、低_平均值
编辑平均值函数检测值的算术平均值中的异常。平均值是针对每个存储桶计算的。
如果您想监控异常高的平均值,请使用 高_平均值 函数。
如果您只对异常低的平均值感兴趣,请使用 低_平均值 函数。
这些函数支持以下属性
-
field_name(必需) -
by_field_name(可选) -
over_field_name(可选) -
partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
示例 5:使用平均值函数分析响应时间。
{
"function" : "mean",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 平均值 函数,它会随着时间的推移对每个应用程序的 响应时间 平均值进行建模。它会检测到 响应时间 平均值与之前的 响应时间 值相比不寻常的情况。
示例 6:使用高_平均值函数分析响应时间。
{
"function" : "high_mean",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 高_平均值 函数,它会随着时间的推移对每个应用程序的 响应时间 平均值进行建模。它会检测到 响应时间 平均值与之前的 响应时间 值相比异常高的情况。
示例 7:使用低_平均值函数分析响应时间。
{
"function" : "low_mean",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 低_平均值 函数,它会随着时间的推移对每个应用程序的 响应时间 平均值进行建模。它会检测到 响应时间 平均值与之前的 响应时间 值相比异常低的情况。
度量
编辑度量函数组合了 最小值、最大值 和 平均值 函数。您可以将其用作组合分析的简写。如果您未在检测器中指定函数,则此为默认函数。
高侧和低侧函数不适用。指定 summary_count_field_name 时,您不能使用此函数。
此函数支持以下属性
-
field_name(必需) -
by_field_name(可选) -
over_field_name(可选) -
partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
示例 8:使用度量函数分析响应时间。
{
"function" : "metric",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 度量 函数,它会随着时间的推移对每个应用程序的 响应时间 的平均值、最小值和最大值进行建模。它会检测到 响应时间 的平均值、最小值或最大值与之前的 响应时间 值相比不寻常的情况。
方差p、高_方差p、低_方差p
编辑方差p 函数检测值的方差中的异常,方差是衡量数据中的变异性和分散性的指标。
如果您想监控异常高的方差,请使用 高_方差p 函数。
如果您只对异常低的方差感兴趣,请使用 低_方差p 函数。
这些函数支持以下属性
-
field_name(必需) -
by_field_name(可选) -
over_field_name(可选) -
partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
示例 9:使用方差p函数分析响应时间。
{
"function" : "varp",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 方差p 函数,它会随着时间的推移对每个应用程序的 响应时间 值的方差进行建模。它会检测到 响应时间 的方差与过去的应用行为相比不寻常的情况。
示例 10:使用高_方差p函数分析响应时间。
{
"function" : "high_varp",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 高_方差p 函数,它会随着时间的推移对每个应用程序的 响应时间 值的方差进行建模。它会检测到 响应时间 的方差与过去的应用行为相比不寻常的情况。
示例 11:使用低_方差p函数分析响应时间。
{
"function" : "low_varp",
"field_name" : "responsetime",
"by_field_name" : "application"
}
如果您在异常检测作业中的检测器中使用此 低_方差p 函数,它会随着时间的推移对每个应用程序的 响应时间 值的方差进行建模。它会检测到 响应时间 的方差与过去的应用行为相比不寻常的情况。