区间检测 V2¶
V2 版本的区间检测利用历史数据构建置信区间,预测正常波动范围。系统对比当前数据特征与历史数据,判断是否超出置信区间,以此识别异常并触发警报,保障数据稳定性和安全性。
主要特点:
- 深入分析:基于历史数据构建置信区间预测正常波动;
- 持续更新:由观测云算法团队持续更新,提升数据处理能力。
概念先解¶
置信区间范围 (confidence_interval):是衡量时序数据在特定检测范围内波动容忍度的指标,取值在 1% 至 100% 之间。数据波动性大、随机性强时,可适当增大该值;数据波动规律时,可减小该值。置信区间过大,上下边界变宽,会减少异常点检测数量;置信区间过小,则可能检测出过多异常值;置信区间过大,又可能无法检测到任何异常。
因此,根据数据的波动特性合理调整该参数,对平衡异常检测的灵敏度和准确性至关重要,能有效避免过度误报或漏报异常情况。
图例:
检测配置¶
检测频率¶
即检测规则的执行频率,默认 10 分钟,不可更改。
检测指标¶
即监控的指标数据。
| 字段 | 说明 |
|---|---|
| 数据类型 | 当前检测的数据类型,包括指标、APM、RUM 数据。 |
| 指标集 | 当前检测指标所在的指标集。 |
| 指标 | 当前检测所针对的指标。 |
| 聚合算法 | 包含 Avg by(取平均值)、Min by(取最小值)、Max by(取最大值)、Sum by(求和)、Last(取最后一个值)、First by(取第一个值)、Count by(取数据点数)、Count_distinct by(取非重复的数据点数)、p50(取中位数值)、p75(取处于75%位置的值)、p90(取处于 90% 位置的值)、p99(取处于 99% 位置的值)。 |
| 检测维度 | 配置数据里对应的字符串类型(keyword)字段都可以作为检测维度进行选择,目前检测维度最多支持选择三个字段。通过多个检测维度的字段组合,可以确定一个确定的检测对象,观测云会判断某个检测对象对应的统计指标是否满足触发条件的阈值,若满足条件则产生事件。例如选择检测维度 host 与 host_ip,则检测对象可以为 {host: host1, host_ip: 127.0.0.1}) |
| 筛选条件 | 基于指标的标签对检测指标的数据进行筛选,限定检测的数据范围;可添加一个或多个标签筛选;支持模糊匹配和模糊不匹配的筛选条件。 |
| 别名 | 自定义检测指标名称。 |
| 查询方式 | 支持简单查询和表达式查询。 |
触发条件¶
设置告警级别的触发条件:您可任意配置紧急、重要、警告、正常的其中一种触发条件。支持向上(数据升高)、向下(数据下降)、向上或向下 3 种形式的数据比较。
配置触发条件及严重程度,当查询结果为多个值时,任一值满足触发条件则产生事件。
更多详情,可参考 事件等级说明。
告警级别
-
告警级别紧急(红色)、重要(橙色)、警告(黄色):基于配置条件判断运算符。
-
告警级别正常(绿色):基于配置检测次数,说明如下:
- 每执行一次检测任务即为 1 次检测,如
检测频率 = 5 分钟,则 1 次检测 = 5 分钟; - 可以自定义检测次数,如
检测频率 = 5 分钟,则 3 次检测 = 15 分钟。
级别 描述 正常 检测规则生效后,产生紧急、重要、警告异常事件后,在配置的自定义检测次数内,数据检测结果恢复正常,则产生恢复告警事件。
恢复告警事件不受告警沉默限制。若未设置恢复告警事件检测次数,则告警事件不会恢复,且一直会出现在事件 > 未恢复事件列表中。 - 每执行一次检测任务即为 1 次检测,如
数据断档¶
针对数据断档状态,可配置七种策略。
-
联动检测区间时间范围,判断检测指标最近分钟数的查询结果,不触发事件;
-
联动检测区间时间范围,判断检测指标最近分钟数的查询结果,查询结果视为 0;此时查询结果将重新与上方触发条件中配置的阈值做比较,从而判断是否触发异常事件。
-
自定义填充检测区间值,触发数据断档事件、触发紧急事件、触发重要事件、触发警告事件及触发恢复事件;选择该类配置策略,自定义数据断档时间配置建议 >= 检测区间时间间隔,若配置时间 <= 检测区间时间间隔,可能存在同时满足数据断档和异常情况,此情况下仅会应用数据断档处理结果。
信息生成¶
开启此选项后,将未匹配到以上触发条件的检测结果生成“信息”事件写入。
注意
若同时配置触发条件、数据断档、信息生成时,按照如下优先级判断触发:数据断档 > 触发条件 > 信息事件生成。
其他配置¶
更多详情,可参考 规则配置。