Détection d'anomalie

Les données de mesure sont collectées par diverses sources de données telles que SCOM, le système de surveillance SolarWinds ou le serveur Nagios XI (dont certaines sont par défaut partiellement configurées pour la collecte de mesures). Ces systèmes de surveillance collectent régulièrement des données de mesure à partir de l'environnement source. Analyse des mesures capture les données brutes de ces systèmes de surveillance, et utilise les règles d'événement et le moteur d'identification CMDB pour mapper les données sur les CI existants et sur leurs ressources. Les données sont ensuite analysées pour détecter les anomalies et fournir d'autres données statistiques.

Analyse des mesures utilise des données de mesure historiques pour créer des modèles statistiques. Ces modèles facilitent la projection des valeurs de mesure attendues, ainsi que des limites supérieures et inférieures. Analyse des mesures utilise ensuite ces projections pour détecter les valeurs qui ne correspondent pas aux modèles statistiques et calculer les scores d'anomalie. Les anomalies sont notées sur une échelle comprise entre 0 et 10. Des scores d'anomalie élevés pour les mesures de CI peuvent indiquer qu'un CI risque d'entraîner une panne de service.

Une fois le traitement terminé, l'Explorateur des connaissances affiche les statistiques et les graphiques de mesures, et la Carte des anomalies affiche les scores corrélés pour les CI ayant les scores d'anomalie les plus élevés, sur une chronologie.

Vous pouvez désactiver la détection d'anomalie pendant la maintenance du système, car il est possible que les anomalies ne soient pas pertinentes lorsqu'elles sont détectées alors que la maintenance est en cours. Pour cela, définissez la propriété mid.mi.anomaly_detection.disable sur vrai.

Pour personnaliser l’affichage des anomalies pour les mesures classées comme quasi constantes, contactez le support client.

Analyse des mesures est disponible lorsque vous activez le module d'extension Analyse des mesures (com.snc.sa.metric).

Termes utilisés avec Analyse des mesures

Type de mesure source

Mesure, telle que « % d'espace libre » ou « Bande passante actuelle », qui peut être obtenue auprès d'une source de données pour un CI. Pour chaque source de données, vous pouvez choisir le ou les types de mesures sources possibles devant être traités. Par exemple, environ 380 types de mesures sources sont activés par défaut pour la source de données SCOM.

Anomalie

Les données qui se trouvent en dehors des limites de contrôle sont considérées comme valeurs statistiques hors norme. Ces valeurs hors norme servent à calculer un score d'anomalie, c'est-à-dire une valeur comprise entre 0 et 10 qui indique le degré auquel la mesure semble peu probable. Lorsqu'un score d'anomalie est supérieur à un seuil, une alerte d'anomalie est générée. Les alertes d'anomalie sont signalées séparément des alertes IT régulières.

Ressource

Composant d'un CI qui comprend plusieurs composants individuels de type similaire, où chaque sous-composant peut être surveillé séparément. Par exemple, des pages Web individuelles ou des disques spécifiques tels que « Disque C: » et « Disque D: ».

Agrégats

Série de valeurs (p. ex., valeurs de mesure) sur une période donnée, associées à un CI et à un type de mesure. Étant donné qu'un score d'anomalie est évalué pour chaque mesure, la série de scores d'anomalie sur une période est également un agrégat. Les agrégats sont calculés par le modèle statistique créé pour une série de données de mesure, et sont utilisés avec les valeurs de données de mesure, les scores d'anomalie et les limites de contrôle supérieures et inférieures.

Modèles statistiques

Les tâches Metric Intelligence utilisent les données de mesure antérieures (jusqu'à 32 jours). Un processus de formation de modèle analyse les données historiques pour créer un modèle qui prédit les valeurs futures. En règle générale, les modèles restent en vigueur jusqu'à la prochaine exécution du processus d'apprentissage du modèle. Ces modèles servent à calculer les limites supérieures et inférieures. Les valeurs entrantes supérieures à ces limites et qui s'écartent significativement des valeurs statistiques attendues, génèrent des anomalies. Chaque modèle possède un modèle unique et est étiqueté avec un classifieur qui illustre le comportement général du modèle. Cette classification détermine si la détection d'anomalie peut être appliquée. Pour la plupart des modèles, il est possible de prévoir quelles valeurs futures s'écartent des valeurs attendues. Ces modèles sont associés à des limites de contrôle et la détection d'anomalie peut être appliquée (si elle est activée).

Toutefois, pour certains modèles, les données sont insuffisantes pour déterminer quelles valeurs sont anormales ; il s'avère donc impossible d'appliquer la détection d'anomalie sans informations supplémentaires (même si la détection d'anomalie est activée).

Les modèles de données appris sont stockés dans la table Modèles de séries chronologiques de mesures [sa_time_series].

Les modèles statistiques et classifieurs suivants sont utilisés dans la détection d'anomalie :

Modèle statistique des séries chronologiques

Une fois le modèle de séries chronologiques établi, il ne s'ajuste pas en fonction des modifications apportées aux données de mesure entrantes. Par conséquent, si le modèle des données entrantes change, ces modifications sont susceptibles d'être identifiées comme étant anormales. Les limites de contrôle supérieures et inférieures, une fois qu'elles sont apprises, sont conservées jusqu'à la prochaine exécution du processus d'apprentissage (les données sont apprises quotidiennement).

Hebdomadaire

Données avec un modèle qui se répète selon des intervalles hebdomadaires (modèle saisonnier).

Au moins 15 jours de données sont nécessaires dans la série, conformément au paramètre de configuration weekly_model_min_days.

Quotidien

Données avec un modèle qui se répète selon un intervalle quotidien (modèle saisonnier).

Au moins 3 jours de données sont nécessaires dans la série, conformément au paramètre de configuration daily_model_min_days.

Tendance

Données ayant une tendance linéaire avec une certaine pente et un peu de bruit.

Au moins 30 points de données sont nécessaires dans la série, conformément au paramètre de configuration corrupt_data_count_threshold.

Bruyant

Données bruyantes typiques qui correspondent à une classification de modèle de base dans un modèle de données. Il est impossible d'identifier le modèle avec une tendance ou une saisonnalité spécifique.

Au moins 30 points de données sont nécessaires dans la série, conformément au paramètre de configuration corrupt_data_count_threshold.

Bruyant fixé positif

Semblable au classifieur Bruyant, sauf que la limite inférieure est fixée sur 0.

Au moins 30 points de données sont nécessaires dans la série, conformément au paramètre de configuration corrupt_data_count_threshold.

Bruyant centré

Données bruyantes qui se répartissent symétriquement entre les limites supérieures et inférieures spécifiées par l'utilisateur. La formule utilisée pour définir les limites et les valeurs de largeur ignore les données statistiques, et les largeurs inférieures et supérieures ont une valeur identique.

Le nombre de points de données dans la série doit être nul.

Consultez Spécifier des limites de mesures supérieures et inférieures personnalisées pour plus d'informations.

Bruyant décalé

Données bruyantes qui ne sont pas réparties uniformément entre les limites supérieures et inférieures spécifiées par l'utilisateur, mais qui ont plutôt tendance à se concentrer plus près de l'une des limites. La médiane des données est utilisée pour calculer séparément une largeur supérieure et une largeur inférieure.

Au moins un point de données est nécessaire dans la série.

Consultez Spécifier des limites de mesures supérieures et inférieures personnalisées pour plus d'informations.

Bruyant décalé : distribution de valeur extrême généralisée (GEV)

Données bruyantes qui ne sont pas réparties uniformément entre les limites supérieures et inférieures spécifiées par l'utilisateur, mais qui se concentrent plus près de l'une des limites. En outre, la distribution des données indique une extrémité longue ou lourde. La médiane des données dérivées de l'extrémité de distribution est utilisée pour calculer séparément une largeur supérieure et une largeur inférieure. Il doit y avoir au moins un point de données dans la série.

Accumulateur

Modèle de données similaire au classifieur Tendance, mais avec une augmentation monotone et sans bruit. Pour ce classifieur, il n'existe aucun modèle de données et aucune détection d'anomalie.

Au moins 30 points de données sont nécessaires dans la série, conformément au paramètre de configuration corrupt_data_count_threshold.

Presque constant

Données presque constantes, dans lesquelles la plupart des valeurs sont une valeur constante spécifique. Pour ce classifieur, il n'existe aucun modèle de données et aucune détection d'anomalie.

Au moins 30 points de données sont nécessaires dans la série, conformément au paramètre de configuration corrupt_data_count_threshold.

Multinomial

Modèle de données dans lequel toutes les valeurs correspondent à un nombre relativement faible de valeurs. Par exemple, les valeurs sont toujours 100 ou 99,9. Pour ce classifieur, il n'existe aucun modèle de données et aucune détection d'anomalie.

Au moins 400 points de données sont nécessaires dans la série, calculés comme 10 fois la valeur du paramètre de configuration multinomial_count_threshold.

Endommagé

Les données ne disposent pas de suffisamment de points de données pour identifier un modèle. Pour ce classifieur, il n'existe aucun modèle de données et aucune détection d'anomalie.

Le nombre de points de données dans la série doit être inférieur à la valeur du paramètre de configuration corrupt_data_count_threshold (30 par défaut).

Modèle statistique du filtre Kalman

Ajoutez au modèle statistique des séries chronologiques qui s'appliquent uniquement aux classifieurs Bruyant et Bruyant positif. Ce modèle est une méthode générale d'estimation des paramètres de modèle d'un flux de données où le niveau est le seul paramètre du modèle. Le modèle de filtre Kalman peut s'ajuster aux nouvelles valeurs dans les données de mesure entrantes. En l'absence de modèles clairs dans le bruit, ou si le bruit est trop élevé, le modèle de filtre Kalman n'est pas utilisé.

Niveau local

Lorsque les clusters de données entrantes sont regroupés autour d'une nouvelle valeur en fonction des limites de contrôle actuelles, la tâche d'apprentissage ajuste le modèle de données pour s'adapter à un changement permanent. Ce regroupement est détecté comme une nouvelle valeur dans le modèle de données afin que la plupart des données entrantes se retrouvent à nouveau dans les limites de contrôle et cessent d'être détectées comme étant anormales. Cette détection de changement est utile lorsque, par exemple, vous ajoutez des cœurs ou de la mémoire à un serveur, ce qui a un impact sur les bases de référence.

Au moins 30 points de données sont nécessaires dans la série, conformément au paramètre de configuration corrupt_data_count_threshold.

Non reconnu

Lorsque les données ne correspondent pas au classifieur de niveau local, des classifieurs de séries chronologiques sont utilisés. C'est notamment le cas lorsqu'il n'est pas possible d'ajuster le taux de variance dans un modèle de niveau local appris sur des valeurs raisonnables.

Modèle statistique non paramétrique

Complément du classifieur Bruyant positif. Dans le modèle non paramétrique, la distribution du bruit n'est pas symétrique et ne correspond à aucun modèle saisonnier. Le modèle non paramétrique crée des limites de contrôle qui s'adaptent mieux aux données réelles et, une fois appris, les limites de contrôle persistent jusqu'au prochain cycle d'apprentissage. Ce modèle ne s'ajuste pas aux changements de données, et l'identification d'un écart en tant qu'anomalie met plus de temps.

Stationnaire non paramétrique

Données qui ne dépendent pas du temps, ce qui signifie qu'il n'y a pas de changement significatif dans les paramètres tels que la moyenne et la variance lors du déplacement des données dans le temps.

Au moins 5 000 points de données sont nécessaires dans la série, conformément au paramètre de configuration snpm_minimum_data_count.

Non reconnu

Lorsque les données ne correspondent pas au classifieur stationnaire, des classifieurs de séries chronologiques sont utilisés.

Modèle statistique de l'écart absolu médian (MAD)

Module complémentaire au classifieur Bruyant décalé. Dans ce type de données, la distribution du bruit n'est pas symétrique et ne correspond à aucun modèle saisonnier. En outre, les données reflètent une distribution lourde ou longue à l'extrémité. Le modèle statistique MAD crée des limites de contrôle qui s'adaptent mieux aux données réelles et, une fois appris, les limites de contrôle persistent jusqu'au prochain cycle d'apprentissage. L'utilisation de ce modèle améliore le déchiffrement de la collection de données avec environ 30 % d'efficacité.