本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
异常
anomaly用于使用机器学习自动识别日志数据中的异常模式和潜在问题。
该anomaly命令扩展了现有pattern功能,并利用高级分析来帮助识别日志数据中的潜在异常。您可以使用anomaly自动在日志中显示异常模式或行为,从而缩短识别和解决操作问题所需的时间。
该anomaly命令与命令配合
pattern使用,首先识别日志模式,然后检测这些模式中的异常。您也可以anomaly与
filter或
sort命令结合使用,将异常检测重点放在数据的特定子集上。
异常命令输入
该anomaly命令通常在
pattern命令之后使用,用于分析日志数据中确定的模式。该命令不需要额外的参数,它会分析查询中前面命令的输出。
已识别的异常类型
该anomaly命令可识别五种不同类型的异常:
-
模式频率异常:特定日志模式的异常频率,例如当应用程序开始生成比平时更多的错误消息时。
-
新模式异常:以前看不见的日志模式,可能表示您的日志中出现了新类型的错误或消息。
-
令牌变异异异常:日志消息内容的意外变化可能表明预期的日志格式存在异常变化。
-
数字代币异常:日志中数值的异常变化有助于检测潜在的性能问题或意外的指标变化。
-
HTTP 错误代码异常:与 HTTP 错误响应相关的模式,在监视 Web 应用程序时特别有用。 APIs
异常命令输出
该anomaly命令保留了输入数据中的所有字段,并添加了异常检测结果,以帮助识别日志数据中的异常模式。
示例
以下命令可识别日志数据中的模式,然后检测这些模式中的异常:
fields @timestamp, @message | pattern @message | anomaly
该anomaly命令可以与筛选一起使用,以专注于特定的日志类型:
fields @timestamp, @message | filter @type = "REPORT" | pattern @message | anomaly
该anomaly命令可以与排序结合使用以组织结果:
fields @timestamp, @message | filter @type = "ERROR" | pattern @message | anomaly | sort @timestamp desc
