Typen von anomalem Verhalten in Health Log Analytics

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 1 Minute Lesedauer

    • Anomales Verhalten in einem CI oder Service kann auf ein wichtiges Problem hinweisen. Beispielsweise kann eine Spitze der Häufigkeit oder Anzahl von Nachrichten eines bestimmten Typs auf ein Problem hinweisen.

    So erstellen Sie Modelle des erwarteten Verhaltens: Health Log AnalyticsÜberwacht den Protokollstream, um Baselines für Muster, Metriken und Anzeigen über verschiedene Zeiträume zu lernen. Zeiträume können stündlich, täglich, wöchentlich oder unbegrenzt sein. Verhalten, das von den gelernten Modellen abweicht, wird als anomales Verhalten betrachtet.

    Typen der Protokolleigenschaft

    Muster
    Ein Muster ist ein Wert oder eine Rate, die wiederholt wird, unabhängig davon, ob es sich um Text, Zeit oder Beziehungen handelt.
    Zähler
    Eine Zählereigenschaft ist ein numerischer Wert oder Textwert. Beispiel: Ein Statuscode, ein Antwortcode, eine Aktion oder ein Muster.
    Anzeige
    Eine Anzeigeeigenschaft hat einen numerischen Wert, der kontinuierlich gemeldet wird. Anzeigeeigenschaften stellen Vorgänge dar, die Ressourcen verbrauchen. Beispiele: CPU-Auslastung, Speicherauslastung oder Antwortzeit

    Wie Anomalien in angezeigt werden Health Log Analytics

    Die Anomaliekarte veranschaulicht die anomale Aktivität, die zur Warnung geführt hat. Das Diagramm zeigt:
    • Letzte anomale Aktivität
    • Erwartetes Verhalten (die gelernte Baseline)
    • Baseline-Werte von einem Tag früher
    • Baseline-Werte der vorherigen Woche
    In diesem Beispiel verfolgt das System die Baseline-Rate (die durchschnittliche Anzahl von Ereignissen pro Minute) für ein bestimmtes Protokollmuster. Wenn dieses normalerweise inaktive Protokoll eine Spitze der Ereignisse generiert, erkennt das System die Abweichung von der Baseline und generiert eine Warnung.
    Abbildung : 1. Karte „Abweichung“
    Anomaliekarte identifiziert und veranschaulicht anomales Verhalten.

    Arten von Anomalien

    Tabelle : 1. Einige der Arten von Anomalien
    Verhalten Beschreibung
    Neues Verhalten Ein Muster, das noch nie gesehen wurde. Der Warnungstyp „Neues Verhalten“ zeigt kein Diagramm an.
    Signal inaktiv/nicht mehr angezeigt Alle Muster- oder Protokolldaten aus einer Quelle wurden angehalten. Seit mindestens fünf Minuten gab es kein Signal.
    Signal aktiv/wird erneut angezeigt Muster- oder Protokolldaten aus einer „toten“ Quelle werden erneut angezeigt​. Bei einer Baseline von einer Stunde ist ein Muster „inaktiv“, wenn es weniger als einmal pro Minute angezeigt wird.
    Anomalie über dem Durchschnitt oder unter dem Durchschnitt Aktivität, die vom erwarteten Baseline-Verhalten für Muster- oder Meter- oder Anzeigemetriken abweicht, z. B. Stichwortmetriken oder Schweregradmetriken.
    Anstieg oder Sinken einer Baselinereferenz​ Eine Erhöhung oder Abnahme des Werts oder Volumens einer Protokolleigenschaft im Vergleich zur Baseline für eine Stunde oder eine Woche.
    Korrelation von Schweregrad- und Stichwortwarnungen Eine Zunahme des Volumens eines Schweregrads oder Stichworts.