Visualizzazione dei risultati
Dopo che il lavoro di rilevamento delle anomalie ha elaborato alcuni dati, puoi visualizzare i risultati nel dashboard di OpenSearch.
!!! A seconda delle capacità del tuo computer, potrebbe essere necessario attendere alcuni secondi affinché l'analisi del machine learning generi i risultati iniziali.
Risultati per bucket
Quando visualizzi i risultati del machine learning, ogni bucket ha un punteggio di anomalia. Questo punteggio è una vista aggregata e normalizzata statisticamente dell'anomalia combinata di tutti i risultati dei record nel bucket.
Le analisi di machine learning migliorano il punteggio di anomalia per ogni bucket prendendo in considerazione i bucket contigui. Questa analisi multi-bucket utilizza effettivamente una finestra mobile per valutare gli eventi in ogni bucket rispetto al contesto più ampio degli eventi recenti. Quando rivedi i risultati del machine learning, c'è una proprietà multi_bucket_impact che indica quanto fortemente il punteggio finale di anomalia è influenzato dall'analisi multi-bucket. In Kibana, le anomalie con impatto medio o alto multi-bucket sono rappresentate nell'Anomaly Explorer e nel Single Metric Viewer con un simbolo di croce anziché un punto. Ad esempio:
In questo esempio, puoi vedere che alcune delle anomalie si trovano all'interno dell'area blu ombreggiata, che rappresenta i limiti per i valori attesi. I limiti sono calcolati per bucket, ma l'analisi multi-bucket non è limitata da questo ambito.
Sia l'Anomaly Explorer che il Single Metric Viewer contengono una tabella delle anomalie che mostra i dettagli chiave di ogni anomalia, come l'ora, i valori tipici e reali, e la probabilità. La sezione Anomaly explanation ti aiuta a interpretare una determinata anomalia fornendo ulteriori approfondimenti sul suo tipo, impatto e punteggio.
Se hai regole di allarme di rilevamento anomalie applicate a un lavoro di rilevamento delle anomalie e un allarme è stato attivato per la regola, puoi visualizzare come l'allarme si correla con i risultati del rilevamento delle anomalie nell'Anomaly Explorer utilizzando la swimlane della timeline delle anomalie e il pannello degli allarmi. Il pannello degli allarmi contiene un grafico a linee con il conteggio degli allarmi nel tempo. Il cursore sul grafico a linee è sincronizzato con la swimlane dell'anomalia, facilitando la revisione dei bucket anomali con il picco prodotto dagli allarmi. Il pannello contiene anche informazioni aggregate per ogni regola di allarme associata alla selezione del lavoro, come il numero totale di allarmi attivi, recuperati e non monitorati per il lavoro e l'intervallo di tempo selezionato. Un menu contestuale dell'allarme viene visualizzato quando viene selezionata una cella della swimlane dell'anomalia con gli allarmi nell'intervallo di tempo scelto. Il menu contestuale contiene i contatori degli allarmi per i bucket di tempo selezionati.
Se hai più di un lavoro di rilevamento delle anomalie, puoi anche ottenere i risultati complessivi per bucket, che combinano e correlano le anomalie da più lavori in un punteggio complessivo. Quando visualizzi i risultati per gruppi di lavori in Kibana, vengono forniti i punteggi complessivi per i bucket. Per ulteriori informazioni, consulta l'API Get overall buckets.
I risultati per bucket forniscono la vista complessiva e di alto livello del lavoro di rilevamento delle anomalie e sono ideali per gli allarmi. Ad esempio, i risultati per bucket potrebbero indicare che alle 16:05 il sistema era anomalo. Queste informazioni sono un riepilogo di tutte le anomalie, indicando quando si sono verificate. Quando identifichi un bucket anomalo, puoi indagare ulteriormente esaminando i record pertinenti.
Risultati degli influencer
I risultati degli influencer mostrano quali entità sono state anomale e quando. Un risultato di influencer viene scritto per ogni bucket per ogni influencer che influisce sull'anomalia del bucket. Le analisi di machine learning determinano l'impatto di un influencer eseguendo una serie di esperimenti che rimuovono tutti i punti dati con un valore specifico dell'influencer e verificano se il bucket è ancora anomalo. Ciò significa che solo gli influencer con impatti statisticamente significativi sull'anomalia sono riportati nei risultati. Per i lavori con più di un rilevatore, i punteggi degli influencer offrono una vista potente delle entità più anomale.
Ad esempio, il lavoro di rilevamento delle anomalie high_sum_total_sales per i dati di esempio degli ordini eCommerce utilizza customer_full_name.keyword e category.keyword come influencer. Puoi esaminare i risultati degli influencer con l'API get influencers.
A sinistra c'è un elenco dei principali influencer per tutte le anomalie rilevate nello stesso intervallo di tempo. L'elenco include i punteggi massimi di anomalia, che in questo caso sono aggregati per ogni influencer, per ogni bucket, su tutti i rilevatori. C'è anche una somma totale dei punteggi di anomalia per ogni influencer. Puoi utilizzare questo elenco per aiutarti a restringere i fattori che contribuiscono e concentrarti sulle entità più anomale.
Puoi anche esplorare le swimlane che corrispondono ai valori di un influencer. In questo esempio, le swimlane corrispondono ai valori per customer_full_name.keyword. Per impostazione predefinita, le swimlane sono ordinate in base a quale entità ha i valori di punteggio di anomalia massimi. Puoi fare clic sulle sezioni nella swimlane per vedere i dettagli delle anomalie che si sono verificate in quell'intervallo di tempo.
!!! I punteggi di anomalia che vedi in ciascuna sezione dell'Anomaly Explorer potrebbero differire leggermente. Questa discrepanza si verifica perché per ogni lavoro di rilevamento delle anomalie, ci sono risultati per bucket, risultati per influencer e risultati per record. I punteggi di anomalia vengono generati per ogni tipo di risultato. La timeline delle anomalie in Kibana utilizza i punteggi di anomalia a livello di bucket. Se visualizzi le swimlane per influencer, utilizza i punteggi di anomalia a livello di influencer, così come la lista dei principali influencer. La lista delle anomalie utilizza i punteggi di anomalia a livello di record.