异常检测仪表板和可视化

2.9 版本引入

启用异常检测后，OpenSearch 提供了一种自动检测有害异常值和保护数据的方法。当应用于指标时，OpenSearch 使用算法持续分析系统和应用程序，确定正常基线，并发现异常。

您可以将数据可视化连接到 OpenSearch 数据集，然后在 Dashboard 界面中从可视化创建、运行和查看实时异常结果。只需几个步骤，您就可以将跟踪、指标和日志整合在一起，使您的应用程序和基础设施完全可观测。

入门

开始之前，您必须具备以下条件：

• 已安装 OpenSearch 和 OpenSearch Dashboards 2.9 或更高版本。请参阅安装 OpenSearch。
• 已安装异常检测插件 2.9 或更高版本。请参阅安装 OpenSearch 插件。
• 已安装异常检测仪表板插件 2.9 或更高版本。请参阅管理 OpenSearch Dashboards 插件以开始使用。

异常检测可视化的一般要求

异常检测可视化显示为时间序列图表，可为您提供所配置的不同异常检测器中异常发生时间的快照。您可以在图表上显示最多 10 个指标，每个系列都可以显示为图表上的一条线。请注意，图表上仅显示实时异常。有关实时和历史异常检测的更多信息，请参阅异常检测，步骤 3：设置检测器作业。

设置或创建异常检测可视化时，请记住以下要求。可视化图表：

• 必须是 Vizlib 折线图
• 必须至少包含一个 Y 轴指标聚合
• 不得包含非 Y 轴指标聚合类型
• 必须使用日期直方图聚合类型作为 X 轴桶
• X 轴必须位于底部
• 必须定义一个 X 轴聚合桶
• 必须有一个有效的时间基准 X 轴

配置管理设置

用户只能访问、创建或管理其具有权限的资源的异常检测器。对异常检测仪表板和可视化的访问受 OpenSearch 和 OpenSearch Dashboards 权限控制。它默认启用，并作为功能显示在 Dashboards Management > Advanced Settings > Visualization 下。如果禁用此设置，它将不会显示在 Dashboards Management 下。您可以在 opensearch-dashboards.yml 文件中在集群级别禁用此设置。

创建异常检测器

首先，创建一个异常检测器

1. 从 OpenSearch Dashboards 主菜单中选择 Dashboard。
2. 从 Dashboards 窗口中，选择 Create，然后选择 Dashboard。
3. 选择 Add an existing，然后从 Add panels 列表中选择适当的可视化。可视化将添加到仪表板中。
4. 从可视化面板中，选择省略号图标 ()。
5. 从 Options 菜单中，选择 Anomaly Detection > Add anomaly detector。
6. 选择 Create new detector。
7. 输入 Detector details 和 Model features 的信息。最多允许五个模型特征。
8. 要在浮出面板中预览可视化，请切换 Show visualization 按钮。
9. 选择 Create detector。创建新检测器后，该检测器将添加到可视化中，如下图所示。

将异常检测器添加到可视化

使用单个界面添加、查看和编辑要与可视化关联的异常检测器。继续按照前面教程中的可视化和仪表板操作，按照以下步骤将异常检测器与可视化关联：

1. 从可视化面板中选择省略号图标 ()，然后选择 Anomaly Detection。
2. 选择 Associate a detector。
3. 从 Select detector to associate 下拉菜单中，选择检测器。下拉菜单中仅列出符合条件的检测器。
4. 查看有关检测器的基本信息。要查看详细信息，请选择 View detector page 以打开异常检测插件页面。
5. 选择 Associate detector。现有检测器现已与可视化关联，如下图所示。

刷新可视化

根据阈值设置，可视化会按指定的时间间隔自动刷新。要手动刷新可视化，请选择仪表板页面上的 Refresh 按钮。

后续步骤

• 了解更多关于仪表板应用程序的信息.
• 了解更多关于异常检测的信息.