Izpratne par mašīnmācīšanos elastīgajā kaudzē (pazīstams arī kā Elasticsearch, arī ELK)

Atgādināsim, ka Elastic Stack pamatā ir nerelāciju Elasticsearch datubāze, Kibana tīmekļa saskarne un datu savācēji un apstrādātāji (slavenākie Logstash, dažādi Beats, APM un citi). Viens no jaukajiem papildinājumiem visam uzskaitītajam produktu kopumam ir datu analīze, izmantojot mašīnmācīšanās algoritmus. Rakstā mēs saprotam, kas ir šie algoritmi. Lūdzu zem kaķa.

Mašīnmācība ir apmaksāta koplietošanas programmatūras Elastic Stack funkcija un ir iekļauta X-Pack. Lai sāktu to lietot, pēc instalēšanas vienkārši aktivizējiet 30 dienu izmēģinājuma versiju. Pēc izmēģinājuma perioda beigām varat pieprasīt atbalstu, lai to pagarinātu, vai iegādāties abonementu. Abonēšanas maksa tiek aprēķināta nevis pamatojoties uz datu apjomu, bet gan uz izmantoto mezglu skaitu. Nē, datu apjoms, protams, ietekmē nepieciešamo mezglu skaitu, tomēr šī pieeja licencēšanai ir humānāka attiecībā pret uzņēmuma budžetu. Ja nav nepieciešama augsta produktivitāte, varat ietaupīt naudu.

ML elastīgajā kaudzē ir rakstīts C++ valodā un darbojas ārpus JVM, kurā darbojas pats Elasticsearch. Tas ir, process (starp citu, to sauc par automātisko noteikšanu) patērē visu, ko JVM neaprī. Demonstrācijas stendā tas nav tik svarīgi, taču ražošanas vidē ir svarīgi piešķirt atsevišķus mezglus ML uzdevumiem.

Mašīnmācīšanās algoritmus iedala divās kategorijās ar skolotāju и bez skolotāja. Elastīgajā kaudzītē algoritms ir kategorijā “nepārraudzīts”. Autors šo saiti Jūs varat redzēt mašīnmācīšanās algoritmu matemātisko aparātu.

Lai veiktu analīzi, mašīnmācīšanās algoritms izmanto Elasticsearch indeksos saglabātos datus. Varat izveidot analīzes uzdevumus gan no Kibana saskarnes, gan caur API. Ja to darāt, izmantojot Kibana, dažas lietas jums nav jāzina. Piemēram, papildu indeksi, ko algoritms izmanto savas darbības laikā.

Analīzes procesā izmantotie papildu indeksi.ml-state — informācija par statistikas modeļiem (analīzes iestatījumiem);
.ml-anomalies-* — ML algoritmu rezultāti;
.ml-notifications — paziņojumu iestatījumi, kuru pamatā ir analīzes rezultāti.

Datu struktūra Elasticsearch datubāzē sastāv no indeksiem un tajos saglabātajiem dokumentiem. Salīdzinot ar relāciju datu bāzi, indeksu var salīdzināt ar datu bāzes shēmu, bet dokumentu ar ierakstu tabulā. Šis salīdzinājums ir nosacīts un paredzēts, lai vienkāršotu turpmākā materiāla izpratni tiem, kas par Elasticsearch ir tikai dzirdējuši.

Tā pati funkcionalitāte ir pieejama, izmantojot API, kas tīmekļa saskarnē, tāpēc skaidrības un jēdzienu izpratnes labad mēs parādīsim, kā to konfigurēt, izmantojot Kibana. Kreisajā pusē esošajā izvēlnē ir sadaļa Mašīnmācīšanās, kurā varat izveidot jaunu darbu. Kibana saskarnē tas izskatās kā attēlā zemāk. Tagad mēs analizēsim katru uzdevumu veidu un parādīsim analīzes veidus, kurus šeit var izveidot.

Single Metric — viena metrikas analīze, Multi Metric — divu vai vairāku metrikas analīze. Abos gadījumos katrs rādītājs tiek analizēts izolētā vidē, t.i. algoritms neņem vērā paralēli analizēto metrikas uzvedību, kā tas varētu šķist Multi Metric gadījumā. Lai veiktu aprēķinus, ņemot vērā dažādu metriku korelāciju, varat izmantot populācijas analīzi. Un Advanced precīzi noregulē algoritmus ar papildu opcijām noteiktiem uzdevumiem.

Viena metrika

Izmaiņu analīze vienā metrikā ir vienkāršākā lieta, ko šeit var izdarīt. Pēc noklikšķināšanas uz Izveidot darbu algoritms meklēs anomālijas.

Šajā jomā Kopsavilkums jūs varat izvēlēties pieeju anomāliju meklēšanai. Piemēram, kad Min vērtības, kas ir zemākas par tipiskām vērtībām, tiks uzskatītas par anomālām. Ēst Maks., Augsts vidējais, zems, vidējais, atšķirīgs un citi. Visu funkciju aprakstus var atrast по ссылке.

Šajā jomā Lauks norāda ciparu lauku dokumentā, kurā mēs veiksim analīzi.

Šajā jomā Kausa laidums — intervālu precizitāte laika skalā, kurā tiks veikta analīze. Varat uzticēties automatizācijai vai izvēlēties manuāli. Tālāk redzamajā attēlā ir parādīts pārāk zemas precizitātes piemērs — jūs varat nepamanīt anomāliju. Izmantojot šo iestatījumu, varat mainīt algoritma jutību pret anomālijām.

Savākto datu ilgums ir galvenais, kas ietekmē analīzes efektivitāti. Analīzes laikā algoritms identificē atkārtošanās intervālus, aprēķina ticamības intervālus (bāzes) un identificē anomālijas - netipiskas novirzes no metrikas ierastās uzvedības. Tikai piemēram:

Pamatlīnijas ar nelielu datu daļu:

Ja algoritmam ir no kā mācīties, bāzes līnija izskatās šādi:

Pēc uzdevuma uzsākšanas algoritms nosaka anomālas novirzes no normas un sarindo tās pēc anomālijas iespējamības (iekavās norādīta atbilstošās etiķetes krāsa):

Brīdinājums (zils): mazāks par 25
Nepilngadīgas (dzeltenas): 25-50
Major (oranžs): 50-75
Kritiskais (sarkans): 75-100

Zemāk esošajā diagrammā ir parādīts atrasto anomāliju piemērs.

Šeit var redzēt skaitli 94, kas norāda uz anomālijas iespējamību. Ir skaidrs, ka, tā kā vērtība ir tuvu 100, tas nozīmē, ka mums ir anomālija. Kolonnā zem diagrammas ir parādīta pejoratīvi mazā varbūtība — 0.000063634% no metrikas vērtības.

Papildus anomāliju meklēšanai varat palaist prognozēšanu Kibanā. Tas tiek darīts vienkārši un no tā paša skata ar anomālijām - poga Prognoze augšējā labajā stūrī.

Prognoze tiek sastādīta maksimāli 8 nedēļas iepriekš. Pat ja jūs patiešām vēlaties, tas vairs nav iespējams pēc dizaina.

Dažās situācijās prognoze būs ļoti noderīga, piemēram, uzraugot lietotāju slodzi uz infrastruktūru.

Daudzmetriska

Pāriesim pie nākamās ML funkcijas elastīgajā kaudzītē — vairāku metriku analīzi vienā partijā. Bet tas nenozīmē, ka tiks analizēta vienas metrikas atkarība no citas. Tas ir tāds pats kā viena metrika, taču vienā ekrānā ir vairākas metrikas, lai ērti salīdzinātu viena no tām ietekmi uz otru. Mēs runāsim par vienas metrikas atkarības no cita analīzi sadaļā Iedzīvotāji.

Pēc noklikšķināšanas uz kvadrāta ar Multi Metric, parādīsies logs ar iestatījumiem. Apskatīsim tos sīkāk.

Vispirms jums ir jāatlasa lauki analīzei un tajos datu apkopošanai. Apkopošanas opcijas šeit ir tādas pašas kā vienai metrikai (Maks., Augsts vidējais, zems, vidējais, atšķirīgs un citi). Turklāt, ja vēlaties, dati tiek sadalīti vienā no laukiem (lauks Datu sadalīšana). Piemērā mēs to izdarījām pēc lauka OriginAirportID. Ņemiet vērā, ka metrikas diagramma labajā pusē tagad tiek parādīta kā vairākas diagrammas.

Lauks Galvenās jomas (ietekmētāji) tieši ietekmē konstatētās anomālijas. Pēc noklusējuma šeit vienmēr būs vismaz viena vērtība, un jūs varat pievienot papildu vērtības. Algoritms ņems vērā šo lauku ietekmi, analizējot un parādīs “ietekmīgākās” vērtības.

Pēc palaišanas Kibana saskarnē parādīsies kaut kas līdzīgs šim.

Šis ir tā sauktais anomāliju siltuma karte katrai lauka vērtībai OriginAirportID, ko mēs norādījām Datu sadalīšana. Tāpat kā ar vienu metriku, krāsa norāda patoloģiskas novirzes līmeni. Līdzīgu analīzi ir ērti veikt, piemēram, darbstacijās, lai izsekotu tās, kurām ir aizdomīgi liels autorizāciju skaits utt. Mēs jau rakstījām par aizdomīgiem notikumiem EventLog Windows, ko šeit var arī apkopot un analizēt.

Zem siltuma kartes ir anomāliju saraksts, no kurām katra varat pārslēgties uz vienas metrikas skatu detalizētai analīzei.

Iedzīvotāji

Lai meklētu anomālijas starp dažādu metriku korelācijām, elastīgajai kaudzei ir specializēta populācijas analīze. Ar tās palīdzību jūs varat meklēt anomālas servera veiktspējas vērtības salīdzinājumā ar citām, kad, piemēram, palielinās pieprasījumu skaits mērķa sistēmai.

Šajā ilustrācijā lauks Populācija norāda vērtību, uz kuru attieksies analizētā metrika. Šajā gadījumā tas ir procesa nosaukums. Rezultātā mēs redzēsim, kā katra procesa procesora slodze ietekmēja viens otru.

Lūdzu, ņemiet vērā, ka analizēto datu diagramma atšķiras no gadījumiem, kad tiek izmantota viena metrika un vairāku metrika. Tas tika veikts Kibanā, lai uzlabotu analizēto datu vērtību sadalījuma uztveri.

Diagramma parāda, ka process darbojās neparasti uzsvars (starp citu, ģenerē īpaša utilīta) serverī poipu, kurš ietekmēja (vai izrādījās ietekmētājs) šīs anomālijas rašanos.

uzlabots

Analīze ar precizēšanu. Izmantojot papildu analīzi, programmā Kibana tiek parādīti papildu iestatījumi. Pēc noklikšķināšanas uz elementa Papildu izveides izvēlnē tiek parādīts šis logs ar cilnēm. Tab darba detaļas Mēs to izlaidām ar nolūku, ir pamata iestatījumi, kas nav tieši saistīti ar analīzes iestatīšanu.

В kopsavilkuma_skaita_lauka_nosaukums Pēc izvēles varat norādīt lauka nosaukumu no dokumentiem, kuros ir apkopotas vērtības. Šajā piemērā notikumu skaits minūtē. IN kategorijas_lauka_nosaukums norāda lauka nosaukumu un vērtību no dokumenta, kurā ir kāda mainīga vērtība. Izmantojot masku šajā laukā, varat sadalīt analizētos datus apakškopās. Pievērsiet uzmanību pogai Pievienojiet detektoru iepriekšējā ilustrācijā. Zemāk ir šīs pogas noklikšķināšanas rezultāts.

Šeit ir papildu iestatījumu bloks anomāliju detektora konfigurēšanai konkrētam uzdevumam. Mēs plānojam apspriest konkrētus lietošanas gadījumus (īpaši drošības) turpmākajos rakstos. Piemēram, izskatu viens no izjauktajiem korpusiem. Tas ir saistīts ar reti sastopamu vērtību meklēšanu un tiek īstenots reta funkcija.

Šajā jomā funkcija Varat atlasīt konkrētu funkciju, lai meklētu anomālijas. Izņemot rets, ir vēl pāris interesantas funkcijas - dienas laiks и nedēļas_laiks. Tie identificē metrikas darbības novirzes attiecīgi dienas vai nedēļas garumā. Citas analīzes funkcijas ir dokumentācijā.

В lauka_nosaukums norāda dokumenta lauku, kurā tiks veikta analīze. Pēc_lauka_nosaukuma var izmantot, lai atdalītu analīzes rezultātus katrai atsevišķai šeit norādītā dokumenta lauka vērtībai. Ja jūs aizpildāt virs_lauka_nosaukums jūs saņemat populācijas analīzi, par kuru mēs runājām iepriekš. Ja norādāt vērtību partition_field_name, tad šim dokumenta laukam katrai vērtībai tiks aprēķinātas atsevišķas bāzes līnijas (vērtība var būt, piemēram, servera vai servera procesa nosaukums). IN izslēgt_bieži var izvēlēties visi vai neviens, kas nozīmēs bieži sastopamo dokumenta lauku vērtību izslēgšanu (vai iekļaušanu).

Šajā rakstā mēs centāmies sniegt pēc iespējas īsu priekšstatu par mašīnmācīšanās iespējām elastīgajā kaudzītē; aizkulisēs joprojām ir palicis daudz detaļu. Pastāstiet komentāros, kādus gadījumus jums izdevās atrisināt, izmantojot Elastic Stack, un kādiem uzdevumiem jūs to izmantojat. Lai sazinātos ar mums, varat izmantot personīgās ziņas Habré vai atsauksmju veidlapa vietnē.

Avots: www.habr.com