Обнаружение аномалий
Модуль централизованного хранения логов (OpenSearch) предлагает функцию выявления аномалий (Anomaly Detection). Для включения функции в интерфейсе перейдите в левое меню, раздел “OpenSearch Plugins”/“Anomaly Detection”.
Скриншот
Нажмите кнопку “Create detector”.
Скриншот
В блоке “Detector details” укажите уникальное название для нового детектора в поле “name”, и опционально описание в поле “Description”.
Пример
| Параметр | Значение |
|---|---|
| name | <имя кластера>-* |
| Description | Детектор кластера <имя кластера> |
Скриншот
В блоке “Select Data” в названии введите префикс имени вашего кластера, затем добавьте “-*”, это позволит обрабатывать данные по всем датам для этого индекса. Опционально, для фильтрации данных для анализа:
- Нажмите “Add data filter”, укажите поле для фильтрации.
Пример
| Параметр | Значение |
|---|---|
| Field | Request-status |
| Operator | Is in range |
| From | 401 |
| To | 403 |
Скриншот
- В блоке Timestamp укажите “@timestamp”.
- Нажмите “Next”.
- В блоке “Features” заполняются поля в вашем индексе, которое вы используете для проверки на наличие аномалий. Вы можете добавить до 5 функций.
- В поле “Feature” name укажите имя функции.
- В поле “Aggregation” method выберете метод агрегации.
- В поле “Field” из выпадающего списка выберете поле индекса для анализа.
Пример
| Параметр | Значение |
|---|---|
| Feature name | Request-status |
| Aggregation method | count |
| Field | responseStatus.code |
Опционально, для категоризации результатов анализа:
- В блоке “Categorical fields” установите галочку в чекбокс “Enable categorical fields”.
- В поле “Field” из выпадающего списка выберете поле категоризации, например, “Verb” (разбивка по типу запроса).
- Нажмите “Next”.
- Нажмите “Create detector”.