查看异常检测作业结果

异常检测作业处理完一些数据后，您可以在 Kibana 中查看结果。

Kibana 中有两个工具可以检查异常检测作业的结果：异常资源管理器 和 单指标查看器。

查看机器学习结果时，每个桶都有一个异常分数。此分数是对桶中所有记录结果的综合异常性的统计聚合和规范化视图。

机器学习分析通过考虑连续的桶来增强每个桶的异常分数。这种额外的多桶分析有效地使用滑动窗口来评估每个桶中的事件与最近事件的更大上下文相关的事件。查看机器学习结果时，有一个multi_bucket_impact属性指示最终异常分数受多桶分析影响的程度。在 Kibana 中，具有中等或高多桶影响的异常在异常资源管理器和单指标查看器中用交叉符号而不是点来表示。例如：

在这个例子中，您可以看到一些异常落在阴影蓝色区域内，该区域代表预期值的界限。界限是按桶计算的，但多桶分析不受此范围的限制。

异常资源管理器和单指标查看器都包含一个异常表，其中显示了每个异常的关键详细信息，例如时间、典型值和实际值以及概率。异常解释部分通过提供有关其类型、影响和分数的更多见解来帮助您解释给定的异常。

如果您已将异常检测警报规则应用于异常检测作业，并且规则已发生警报，则可以使用异常资源管理器中的异常时间线泳道和警报面板查看警报与异常检测结果的相关性。警报面板包含一个随时间变化的警报计数折线图。折线图上的光标与异常泳道同步，从而更容易查看带有警报产生的峰值的异常桶。该面板还包含与作业选择关联的每个警报规则的聚合信息，例如所选作业和时间范围的活动警报、已恢复警报和未跟踪警报的总数。当选择在选定时间范围内带有警报的异常泳道单元格时，会显示警报上下文菜单。上下文菜单包含所选时间桶的警报计数器。

如果您有多个异常检测作业，您还可以获得整体桶结果，这些结果将多个作业中的异常组合并关联到一个整体分数中。在 Kibana 中查看作业组的结果时，它会提供整体桶分数。更多信息，请参见获取整体桶 API。

桶结果提供了异常检测作业的顶级整体视图，非常适合警报。例如，桶结果可能表明系统在 16:05 不寻常。此信息是对所有异常的摘要，指出了它们的发生时间。当您识别出异常桶时，您可以通过检查相关记录来进一步调查。

影响因素结果显示哪些实体异常以及何时异常。每个桶为影响桶异常性的每个影响因素写入一个影响因素结果。机器学习分析通过执行一系列实验来确定影响因素的影响，这些实验会删除所有具有特定影响因素值的数据点，并检查桶是否仍然异常。这意味着只有对异常具有统计学意义的影响因素才会在结果中报告。对于有多个检测器的作业，影响因素分数提供了对最异常实体的有力视图。

例如，电子商务订单示例数据的high_sum_total_sales异常检测作业使用customer_full_name.keyword和category.keyword作为影响因素。您可以使用获取影响因素 API检查影响因素结果。或者，您可以使用 Kibana 中的异常资源管理器

左侧是同一时间段内所有检测到的异常的顶级影响因素列表。该列表包括最大异常分数，在本例中，这些分数是为每个影响因素、每个桶以及所有检测器聚合的。每个影响因素的异常分数总和也列出。您可以使用此列表来帮助您缩小贡献因素范围，并关注最异常的实体。

您还可以浏览与影响因素的值相对应的泳道。在这个例子中，泳道对应于customer_full_name.keyword的值。默认情况下，泳道按哪个实体具有最大异常分数值进行排序。您可以单击泳道中的部分以查看在该时间间隔内发生的异常的详细信息。