离群检测¶
通过算法分析特定分组内检测对象的指标或统计数据,以识别是否存在显著的离群偏差。如果检测到的不一致性超过预设的阈值,系统将生成一个离群检测异常事件,用于后续的告警跟踪和分析。这种方法有助于及时发现并处理潜在的异常情况,提高监控的准确性和响应速度。
应用场景¶
可以基于指标数据的特性来配置恰当的距离参数,以便在数据显著偏离正常范围时触发紧急事件。例如,您可以设置监控,以便当某台主机的内存使用率显著高于其他主机时,系统能够及时发出警报。这样的配置有助于快速识别并响应潜在的性能问题或异常情况。
检测配置¶
检测频率¶
即自动匹配所选检测区间。默认选中 5 分钟。
检测区间¶
即检测指标查询的时间范围。
| 检测区间(下拉可选项) | 默认检测频率 |
|---|---|
| 15m | 5m |
| 30m | 5m |
| 1h | 15m |
| 4h | 30m |
| 12h | 1h |
| 1d | 1h |
检测指标¶
即监控的指标数据。
| 字段 | 说明 |
|---|---|
| 数据类型 | 当前检测的数据类型,包含检测指标、日志、基础设施、资源目录、事件、应用性能监测、用户访问监测、网络和 Profile |
| 指标集 | 当前检测指标所在的指标集 |
| 指标 | 当前检测所针对的指标 |
| 聚合算法 | 包含 Avg by(取平均值)、Min by(取最小值)、Max by(取最大值)、Sum by(求和)、Last(取最后一个值)、First by(取第一个值)、Count by(取数据点数)、Count_distinct by(取非重复的数据点数)、p50(取中位数值)、p75(取处于75%位置的值)、p90(取处于90%位置的值)、p99(取处于99%位置的值) |
| 检测维度 | 检配置数据里对应的字符串类型(keyword)字段都可以作为检测维度进行选择,目前检测维度最多支持选择三个字段。通过多个检测维度的字段组合,可以确定一个确定的检测对象,观测云会判断某个检测对象对应的统计指标是否满足触发条件的阈值,若满足条件则产生事件。(例如选择检测维度 host 与 host_ip,则检测对象可以为 {host: host1, host_ip: 127.0.0.1}。) |
| 筛选条件 | 基于指标的标签对检测指标的数据进行筛选,限定检测的数据范围;支持添加一个或多个标签筛选;支持模糊匹配和模糊不匹配的筛选条件 |
| 别名 | 自定义检测指标名称 |
| 查询方式 | 支持简单查询和表达式查询 |
跨空间查询指标¶
授权后,可选择当前账号下其他工作空间的检测指标。后续监控器规则创建成功后,即可实现跨工作空间的告警配置。
选择其他工作空间后,检测指标下拉选项仅展示当前工作空间已被授权的数据类型。
触发条件¶
即设置告警级别的触发条件。
您可以为以下五种告警级别分别配置触发条件:
- 致命
- 严重
- 重要
- 警告
- 正常
配置触发条件及其对应的严重程度后,当查询结果返回多个数值时,只要其中任一值满足所设条件,即触发相应级别的事件。
程度 |
说明 |
|---|---|
| 紧急 | 使用 DBSCAN 算法,可根据指标数据特征配置合适的距离参数,触发紧急事件。距离参数,表示其中一个样本与另一个样本相邻,两个样本之间的最大距离,不是簇内点距离的最大界限。(float, default=0.5) ❗️ 可选择配置 range(0-3.0) 之间的任意浮点值,如果不配置,默认距离参数为 0.5,距离设置越大得到的异常点越少,距离值设置过小可能检测到的离群值非常多,距离值设置过大可能导致没有任何离群检测到, 所以需要根据不同的数据特征设置合适的距离参数 |
| 正常 | 可配置次数,若检测指标触发了“紧急”异常事件,之后连续 N 次检测都正常,则产生“正常”事件。用于判定异常事件是否恢复正常,建议配置 |
大批量告警保护¶
系统默认开启。
当单次检测产生的告警数量超过预设阈值时,系统会自动切换到按状态汇总策略:不再逐个处理告警对象,而是根据事件状态生成少量摘要告警并进行推送。
这样既能确保通知的及时性,又能显著减少告警噪声,避免因处理过多告警而导致超时风险。
当此开关开启,后续监控器检测到异常后产生的此类事件详情中不会展示历史记录和关联事件。
数据断档¶
针对数据断档状态,共支持配置以下七种处理策略:
1. 不触发事件
联动检测区间的时间范围,根据检测指标在最近若干分钟内的查询结果,判断是否生成事件。
2. 查询结果视为 0
联动检测区间的时间范围,将检测指标在最近若干分钟内的查询结果视为 0,并重新与上方触发条件中配置的阈值进行比较,以判断是否触发异常事件。
3. 自定义填充并触发事件
支持自定义填充检测区间值,并分别触发以下事件类型:数据断档事件、紧急事件、重要事件、警告事件及恢复事件。
选择此策略时,建议自定义的数据断档时间配置 ≥ 检测区间的时间间隔;若配置时间 ≤ 检测区间时间间隔,可能会出现数据断档与异常同时满足的情况,此时将优先应用数据断档处理结果。
信息生成¶
开启此选项后,系统会将所有未匹配到上述触发条件的检测结果,以“信息”事件的形式进行写入。
当同时配置了触发条件、数据断档和信息生成时,触发判断的优先级顺序为:数据断档 > 触发条件 > 信息事件生成。
后续配置¶
完成检测规则配置后,您还需要进行以下相关设置:
-
事件通知:自定义事件标题、内容及通知成员。可按需开启自定义通知或关联故障功能,并配置数据断档的处理方式与事件级别;
-
告警配置:选择告警策略,以控制告警的触发频率及静默规则;
-
关联配置:关联仪表板,以便在可视化界面中查看监控上下文;
-
权限设置:配置操作权限,支持自定义或跟随监控器默认权限。
更多详情,可参考 规则配置。