Tipos de comportamento anômalo

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Comportamento anômalo em um IC ou serviço pode indicar um problema importante. Por exemplo, um pico na frequência ou no número de mensagens de um tipo específico pode indicar um problema.

    Noções básicas sobre anomalias

    Para criar modelos de comportamento esperado, o sistema monitora o fluxo de logs para aprender linhas de base para padrões, métricas e medidores ao longo de vários períodos de tempo. Os períodos de tempo podem ser por hora, diários, semanais ou ilimitados. O comportamento que se desvia dos modelos aprendidos é considerado um comportamento anômalo.

    Tipos de propriedade de log

    Padrão
    Um padrão é um valor ou taxa que se repete, seja em texto, tempo ou relacionamentos.
    Medidor
    Uma propriedade de medidor é um valor numérico ou de texto. Por exemplo, um código de status, um código de resposta, uma ação ou um padrão.
    Medidor
    Uma propriedade de medidor tem um valor numérico que é relatado continuamente. As propriedades do medidor representam operações que consomem recursos. Por exemplo, uso de CPU, uso de memória ou tempo de resposta.

    Como as anomalias aparecem no Espaço de operações de serviços

    O cartão Anomalia ilustra a atividade anômala que levou ao alerta.
    • A linha azul mostra a atividade anômala recente.
    • Em alguns gráficos, a área levemente sombreada indica o comportamento esperado (linha de base aprendida).

      Uma área sombreada em tom claro representa os valores de linha de base para a mesma hora um dia antes. Uma área sombreada em rosa mostra os valores do mesmo período na semana anterior.

    • Clique no ícone de informações para ver como a anomalia foi identificada: Ícone de informações.
    Neste exemplo, a área sombreada em tom de laranja mostra os mesmos dados para a mesma hora um dia antes. O pico no valor da métrica (eventos por minuto) está claramente visível.
    Figura 1. Cartão de anomalia
    O cartão de anomalia identifica e ilustra o comportamento anômalo.

    Tipos de anomalias

    Tabela 1. Alguns dos tipos de anomalias
    Comportamento Descrição
    Novo comportamento Um padrão que nunca foi visto. O tipo de alerta Novo comportamento não exibe um gráfico.
    Sinal inativo/parou de aparecer Todos os dados de log ou padrão de uma origem foram interrompidos. Não há sinal há pelo menos cinco minutos.
    Sinal ativo/aparecendo novamente Um padrão ou dados de log de uma origem "desativada" está aparecendo novamente​. Para uma linha de base de uma hora, um padrão está "morto" se aparecer menos de uma vez por minuto.
    Anomalia acima da média ou abaixo da média Atividade que se desvia do comportamento de linha de base esperado para métricas padrão ou de medidor ou medidor, como métricas de palavras-chave ou métricas de gravidade.
    Aumento ou diminuição da referência de linha de base​ Um aumento ou diminuição no valor ou volume de uma propriedade de log em comparação com a linha de base de uma hora ou uma semana.
    Correlação de alertas de severidade e palavra-chave Um aumento no volume de um nível de gravidade ou palavra-chave.