Đây là lệnh bất thường có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
dị thường - phát hiện dữ liệu bất thường
SYNOPSIS
dị thường [-h | --help] [-v | --version] [-d | --details]
[-t | --threshold] [--min N] [--max N]
[-s | --stddev] [-n | - mẫu N] [-c | - hệ số N]
[-q | --quiet]
[-e | --execute CHƯƠNG TRÌNH]
[-p | - lipid PID]
MÔ TẢ
Anomaly có thể phát hiện dữ liệu bất thường trong một luồng số. Để làm được điều này, sự bất thường cần
để xem luồng dữ liệu số và áp dụng một trong các phương pháp phát hiện. Nếu một sự bất thường là
được phát hiện, một phản hồi được thực hiện, được chọn từ một hoặc nhiều phương pháp được tích hợp sẵn.
SỐ SUỐI
Anomaly hoạt động tốt nhất trong một đường ống và sẽ chỉ đọc dữ liệu số từ đầu vào của nó. Như một đơn giản
ví dụ, giả sử bạn muốn theo dõi mức trung bình tải và tìm kiếm các mức tăng đột biến bất thường. Tải
trung bình có thể nhận được từ lệnh 'uptime':
$ thời gian hoạt động
11:40 đến 15 ngày, 4:04, 6 người dùng, tải trung bình: 0.38 0.32 0.32
Chúng tôi có thể trích xuất tải 5 phút (giây thứ hai trong số ba số) bằng cách sử dụng:
$ thời gian hoạt động | cut -f 13 -d ''
0.29
Số đó có thể được trích xuất mỗi phút một lần, bằng cách sử dụng:
$ trong khi [1]; làm thời gian hoạt động | cắt -f 13 -d ''; ngủ 60; xong
0.29
0.26
0.19
Đó là loại luồng dữ liệu theo dõi dị thường. Khoảng trắng (dấu cách, tab,
dòng mới) giữa các số bị bỏ qua, vì vậy chúng ta có thể mô phỏng dòng trên như thế này:
$ echo 0.29 0.26 0.19
Đây là một cách thuận tiện để chứng minh sự bất thường, được hiển thị bên dưới.
PHÁT HIỆN - THRESHOLD
Phương pháp phát hiện đơn giản nhất là ngưỡng, so sánh dữ liệu với một giá trị tuyệt đối.
Phương pháp này có thể sử dụng giá trị tối thiểu và giá trị lớn nhất để so sánh. Những lựa chọn thay thế này là
tất cả đều hợp lệ và sử dụng --min, --max hoặc cả hai:
dị thường - ngưỡng - phút 1.22 - tối đa 9.75
dị thường - ngưỡng - phút 1.22
dị thường - ngưỡng - tối đa 9.75
Trong ví dụ sau, các giá trị '1' và '10' sẽ được phát hiện là bất thường:
$ echo 2 1 3 6 10 5 | dị thường - ngưỡng - phút 1.5 - tối đa 8
Đã phát hiện dữ liệu bất thường. Giá trị 1 dưới mức tối thiểu là 1.5.
Đã phát hiện dữ liệu bất thường. Giá trị 10 cao hơn giá trị tối đa 8.
PHÁT HIỆN - TIÊU CHUẨN CHỮ VIẾT TẮT
Độ lệch chuẩn đo lường sự khác biệt so với giá trị trung bình của một mẫu dữ liệu và
hữu ích để phát hiện các giá trị bất thường. Kích thước mẫu có thể được chọn sao cho
là đủ dữ liệu để xác định giá trị trung bình tốt, nhưng mặc định là 10. Mẫu giới hạn
kích thước có nghĩa là một cửa sổ dữ liệu luân phiên được sử dụng, do đó, giá trị trung bình và tiêu chuẩn
độ lệch được cập nhật cho cửa sổ hiện tại. Điều này làm cho việc giám sát có phần thích ứng.
Đây là một ví dụ:
dị thường --stddev - ví dụ 20
Điều này sử dụng kích thước mẫu của 20 giá trị gần đây nhất và sẽ phát hiện bất kỳ giá trị nào
+/- 1 độ lệch chuẩn so với giá trị trung bình. Một ví dụ:
$ echo 1 2 3 4 5 6 | dị thường --stddev - ví dụ 5
Đã phát hiện dữ liệu bất thường. Giá trị 6 cao hơn 1 sigma so với giá trị trung bình
3, với kích thước mẫu là 5.
Với kích thước mẫu là 5, các phép so sánh chỉ có giá trị sau giá trị thứ 6. bên trong
ví dụ, giá trị trung bình của [1 2 3 4 5] là 3 và độ lệch chuẩn là 1.58. Cái này
có nghĩa là giá trị thứ 6 được coi là bất thường nếu nó nằm trong phạm vi (3 +/- 1.58),
nằm trong khoảng từ 1.42 đến 4.58.
Để làm cho điều này ít nhạy cảm hơn, một hệ số được đưa vào, mặc định là 1.0 (như trên)
nhưng có thể bị ghi đè:
$ echo 1 2 3 4 5 6 | dị thường --stddev - mẫu 5 - hệ số 1.9
$
Trong ví dụ này, giá trị thứ 6 không được coi là bất thường vì nó nằm trong phạm vi
(3 +/- (1.9 * 1.58)), nằm trong khoảng -0.002 đến 6.002.
ỨNG PHÓ - THÔNG ĐIỆP
Phản hồi tin nhắn là mặc định và bao gồm một dòng văn bản in. Nó là
mô tả lý do tại sao giá trị dữ liệu được coi là bất thường. Đây là một ví dụ:
$ echo 1 2 3 | dị thường - ngưỡng - tối đa 2.5
Đã phát hiện dữ liệu bất thường. Giá trị 3 cao hơn giá trị tối đa 2.5.
Thông báo có thể bị chặn, nhưng phải chỉ định một phản hồi khác, để có
một số loại phản ứng:
$ echo 1 2 3 | dị thường - ngưỡng - tối đa 2.5 - yêu cầu ...
ỨNG PHÓ - HÀNH HÌNH
Sự bất thường có thể thực thi một chương trình để phản hồi lại sự phát hiện. Dưới đây là một ví dụ sử dụng 'ngày tháng'
nhưng bất kỳ chương trình nào cũng có thể được sử dụng:
$ echo 1 2 3 | dị thường - ngưỡng - tối đa 2.5 --quiet --execute '/ bin / date +% s '
1361727327
ỨNG PHÓ - TÍN HIỆU
Sự bất thường có thể gửi tín hiệu USR1 tới một chương trình để phản hồi lại sự phát hiện:
$ echo 1 2 3 | dị thường - ngưỡng - tối đa 2.5 --quiet - lipid 12345
Điều này sẽ gửi tín hiệu USR1 đến quá trình với PID 12345. Chương trình nhận sẽ
cần phải trả lời tương ứng.
TÍN & BẢN QUYỀN
Bản quyền (C) 2013 Göteborg Bit Factory.
Anomaly được phân phối theo giấy phép MIT. Nhìn thấy http://www.opensource.org/licenses/mit-
license.php để biết thêm thông tin.
Sử dụng trực tuyến bất thường bằng các dịch vụ onworks.net