Обнаружение аномалий

Модуль централизованного хранения логов (OpenSearch) предлагает функцию выявления аномалий (Anomaly Detection). Для включения функции в интерфейсе перейдите в левое меню, раздел “OpenSearch Plugins”/“Anomaly Detection”.

Скриншот

opensearchplugins

Нажмите кнопку “Create detector”.

Скриншот

createdetector1

В блоке “Detector details” укажите уникальное название для нового детектора в поле “name”, и опционально описание в поле “Description”.

Пример
Параметр Значение
name <имя кластера>-*
Description Детектор кластера <имя кластера>
Скриншот

createdetector2

В блоке “Select Data” в названии введите префикс имени вашего кластера, затем добавьте “-*”, это позволит обрабатывать данные по всем датам для этого индекса. Опционально, для фильтрации данных для анализа:

  • Нажмите “Add data filter”, укажите поле для фильтрации.
Пример
Параметр Значение
Field Request-status
Operator Is in range
From 401
To 403
Скриншот

createdetectordatafilter

  • В блоке Timestamp укажите “@timestamp”.
  • Нажмите “Next”.
  • В блоке “Features” заполняются поля в вашем индексе, которое вы используете для проверки на наличие аномалий. Вы можете добавить до 5 функций.
  • В поле “Feature” name укажите имя функции.
  • В поле “Aggregation” method выберете метод агрегации.
  • В поле “Field” из выпадающего списка выберете поле индекса для анализа.
Пример
Параметр Значение
Feature name Request-status
Aggregation method count
Field responseStatus.code

Опционально, для категоризации результатов анализа:

  • В блоке “Categorical fields” установите галочку в чекбокс “Enable categorical fields”.
  • В поле “Field” из выпадающего списка выберете поле категоризации, например, “Verb” (разбивка по типу запроса).
  • Нажмите “Next”.
  • Нажмите “Create detector”.
×