Обнаружение аномалий
Модуль централизованного хранения логов (OpenSearch) предлагает функцию выявления аномалий (Anomaly Detection). Для включения функции в интерфейсе перейдите в левое меню, раздел “OpenSearch Plugins”/“Anomaly Detection”.
Скриншот
Нажмите кнопку “Create detector”.
Скриншот
В блоке “Detector details” укажите уникальное название для нового детектора в поле “name”, и опционально описание в поле “Description”.
Пример
Параметр | Значение |
---|---|
name | <имя кластера>-* |
Description | Детектор кластера <имя кластера> |
Скриншот
В блоке “Select Data” в названии введите префикс имени вашего кластера, затем добавьте “-*”, это позволит обрабатывать данные по всем датам для этого индекса. Опционально, для фильтрации данных для анализа:
- Нажмите “Add data filter”, укажите поле для фильтрации.
Пример
Параметр | Значение |
---|---|
Field | Request-status |
Operator | Is in range |
From | 401 |
To | 403 |
Скриншот
- В блоке Timestamp укажите “@timestamp”.
- Нажмите “Next”.
- В блоке “Features” заполняются поля в вашем индексе, которое вы используете для проверки на наличие аномалий. Вы можете добавить до 5 функций.
- В поле “Feature” name укажите имя функции.
- В поле “Aggregation” method выберете метод агрегации.
- В поле “Field” из выпадающего списка выберете поле индекса для анализа.
Пример
Параметр | Значение |
---|---|
Feature name | Request-status |
Aggregation method | count |
Field | responseStatus.code |
Опционально, для категоризации результатов анализа:
- В блоке “Categorical fields” установите галочку в чекбокс “Enable categorical fields”.
- В поле “Field” из выпадающего списка выберете поле категоризации, например, “Verb” (разбивка по типу запроса).
- Нажмите “Next”.
- Нажмите “Create detector”.