突变检测¶

通过对比同一指标在两个不同时间段的绝对变化量或相对百分比变化，来判断是否出现了异常。这种方法常用于追踪指标的峰值或波动，当检测到异常时，能够更精确地生成事件记录，以便后续分析和处理。

应用场景¶

突变检测适用于监控短期内与长期数据的相对变化或变化率。例如，将 MySQL 的连接数指标设置为最近 15 分钟与过去 1 天的平均值的百分比差异大于 500%，这表示如果最近 15 分钟的平均连接数超过过去一天平均连接数的 5 倍，系统将触发预警。

建议使用平均值（AVG）、最大值（MAX）、最小值（MIN）等统计函数来计算这些指标，而不是使用最后值（LAST）函数，以减少异常数据的影响并提高监控的准确性。

即监控的指标数据。可比较两个时间段内该指标的差值或者差值百分比。

字段	说明
数据类型	当前检测的数据类型，包含检测指标、日志、基础设施、资源目录、事件、应用性能监测、用户访问监测、安全巡检、网络和 Profile。
指标集	当前检测指标所在的指标集。
指标	当前检测所针对的指标。
聚合算法	包含 Avg by（取平均值）、Min by（取最小值）、Max by（取最大值）、Sum by（求和）、Last（取最后一个值）、First by（取第一个值）、Count by（取数据点数）、Count_distinct by（取非重复的数据点数）、p50(取中位数值)、p75（取处于 75% 位置的值）、p90（取处于 90% 位置的值）、p99(取处于 99% 位置的值)。
检测维度	配置数据里对应的字符串类型（`keyword`）字段都可以作为检测维度进行选择，目前检测维度最多支持选择三个字段。通过多个检测维度的字段组合，可以确定一个确定的检测对象，观测云会判断某个检测对象对应的统计指标是否满足触发条件的阈值，若满足条件则产生事件。（例如选择检测维度 `host` 与 `host_ip`，则检测对象可以为 `{host: host1, host_ip: 127.0.0.1}`。）
筛选条件	基于指标的标签对检测指标的数据进行筛选，限定检测的数据范围；支持添加一个或多个标签筛选；支持模糊匹配和模糊不匹配的筛选条件。
别名	自定义检测指标名称。
查询方式	支持简单查询和表达式查询。

时间段可以选择的检测区间包括上月、上周、昨日、1 小时前、环比上期、最近 15 分钟、最近 30 分钟、最近 1 小时、最近 4 小时、最近 12 小时和最近 1 天。

注意

检测区间”昨日“和”一小时前“，比较的是相同时间范围内检测指标的差值或差值百分比，其他的检测区间比较的是两个时间段内检测指标的差值或差值百分比。

检测规则的执行频率，自动匹配用户所选两个检测区间中时间范围更大的检测区间。包含 1 分钟、5 分钟、15 分钟、30 分钟和 1 小时。

设置告警级别的触发条件：您可任意配置紧急、重要、警告、数据断档、信息的其中一种触发条件：

触发前置条件配置：默认开启；当检测值满足触发前置条件所设阈值时（运算符支持 >、>=、<、<= ，默认选中 >），再继续进行突变检测规则的判断；关闭该配置，只进行突变检测规则的判断；
突变规则配置：突变向上（数据升高）、向下（数据下降）、向上或向下 3 种形式的数据比较，进行突变检测规则的判断。

配置触发条件及严重程度，当查询结果为多个值时，任一值满足触发条件则产生事件。

更多详情，可参考事件等级说明。

告警级别

告警级别正常（绿色）：基于配置检测次数，说明如下：

级别	描述
正常	检测规则生效后，产生紧急、重要、警告异常事件后，在配置的自定义检测次数内，数据检测结果恢复正常，则产生恢复告警事件。恢复告警事件不受告警沉默限制。若未设置恢复告警事件检测次数，则告警事件不会恢复，且一直会出现在事件 > 未恢复事件列表中。

针对数据断档状态，可配置七种策略。

联动检测区间时间范围，判断检测指标最近分钟数的查询结果，不触发事件；
联动检测区间时间范围，判断检测指标最近分钟数的查询结果，查询结果视为 0；此时查询结果将重新与上方触发条件中配置的阈值做比较，从而判断是否触发异常事件。
自定义填充检测区间值，触发数据断档事件、触发紧急事件、触发重要事件、触发警告事件及触发恢复事件；选择该类配置策略，自定义数据断档时间配置建议 >= 检测区间时间间隔，若配置时间 <= 检测区间时间间隔，可能存在同时满足数据断档和异常情况，此情况下仅会应用数据断档处理结果。

开启此选项后，将未匹配到以上触发条件的检测结果生成“信息”事件写入。

注意

若同时配置触发条件、数据断档、信息生成时，按照如下优先级判断触发：数据断档 > 触发条件 > 信息事件生成。

更多详情，可参考规则配置。