本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
異常
使用 anomaly以機器學習自動識別日誌資料中的異常模式和潛在問題。
anomaly 命令會擴展現有pattern功能,並利用進階分析來協助識別日誌資料中的潛在異常。您可以使用 anomaly來減少在日誌中自動浮現異常模式或行為來識別和解決操作問題所需的時間。
anomaly 命令會搭配 pattern命令使用,先識別日誌模式,然後偵測這些模式中的異常。您也可以anomaly結合 filter或 sort命令,將異常偵測聚焦於資料的特定子集。
異常命令輸入
anomaly 命令通常會在 pattern命令之後使用,以分析日誌資料中識別的模式。命令不需要其他參數,並分析查詢中先前命令的輸出。
已識別的異常類型
anomaly 命令可識別五種不同的異常類型:
-
模式頻率異常:特定日誌模式的異常頻率,例如應用程式開始產生比平常更多的錯誤訊息時。
-
新模式異常:先前看不到的日誌模式,可能表示日誌中出現新的錯誤或訊息類型。
-
字符變化異常:日誌訊息內容的非預期變更,可能表示預期日誌格式的異常變化。
-
數值符記異常:日誌中數值的異常變更,可協助偵測潛在的效能問題或非預期的指標變化。
-
HTTP 錯誤碼異常:與 HTTP 錯誤回應相關的模式,在監控 Web 應用程式和 APIs時特別有用。
異常命令輸出
anomaly 命令會保留輸入資料中的所有欄位,並新增異常偵測結果,以協助識別日誌資料中的異常模式。
範例
下列命令會識別日誌資料中的模式,然後偵測這些模式中的異常:
fields @timestamp, @message | pattern @message | anomaly
anomaly 命令可與篩選搭配使用,以專注於特定日誌類型:
fields @timestamp, @message | filter @type = "REPORT" | pattern @message | anomaly
anomaly 命令可與排序結合以組織結果:
fields @timestamp, @message | filter @type = "ERROR" | pattern @message | anomaly | sort @timestamp desc
