Обнаружение аномалий

Модуль централизованного хранения логов (OpenSearch) предлагает функцию выявления аномалий (Anomaly Detection). Для включения функции в интерфейсе нужно:

1. перейти в левом меню в раздел "OpenSearch Plugins → Anomaly Detection" (рисунок 387);

Рисунок 387 ‒ Раздел меню "OpenSearch Plugins → Anomaly Detection"

2. нажать кнопку Create detector (рисунок 388);

Рисунок 388 ‒ Кнопка создания детектора

3. в блоке "Detector details" указать уникальное название для нового детектора в поле "name" и опционально описание в поле "Description" (рисунок 389); пример приведен в таблице 24;

Рисунок 389 ‒ Блок "Detector details"

4. в блоке "Select Data" в названии ввести префикс имени вашего кластера, затем добавить "-*", что позволит обрабатывать данные по всем датам для этого индекса;
5. опционально для фильтрации данных для анализа:

• нажать "Add data filter", указать поле для фильтрации, например, с параметрами из таблицы 25 (рисунок 390);

Рисунок 390 ‒ Параметры поля для фильтрации

• в блоке "Timestamp" указать "@timestamp";
• нажать Next;
• в блоке "Features" заполнить поля в вашем индексе, который используется для проверки на наличие аномалий (можно добавить до 5 функций);
• в поле "Feature name" указать имя функции;
• в поле "Aggregation method" выбрать метод агрегации;
• в поле "Field" из выпадающего списка выбрать поле индекса для анализа (пример значений полей ‒ в таблице 26).

6. Опционально для категоризации результатов анализа:

• в блоке "Categorical fields" установить флажок "Enable categorical fields";
• в поле "Field" из выпадающего списка выбрать поле категоризации, например "Verb" (разбивка по типу запроса);
• нажать Next;
• нажать Create detector.