SLS机器学习服务最佳实践:流式智能巡检

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,内容安全 1000次 1年
对象存储 OSS,恶意文件检测 1000次 1年
简介: 异常检测是智能运维系统中的很重要的一环,在云上针对各个服务时序指标的巡检成为监控服务质量的重要手段。在云平台上,现有的巡检方法多采用SQL发起机器学习函数的方式,拉取部分数据做模型训练,输出结果,在海量的指标数据下反应延迟,成本昂贵,很难充分学习数据的特征而达到很好的效果。SLS团队,对现有的机器学习方法改进提升,采用流式学习的方式,将机器学习函数变为智能化的机器学习服务,让模型在历史数据流上不断记忆,充分学习样本特征,实时反馈,更进一步降低用户的使用门槛。大家只需发起服务,配置一定的告警阈值,即可实现对指标数据的实时智能巡检。

一、背景

异常检测是智能运维系统中的很重要的一环,在云上针对各个服务时序指标的巡检成为监控服务质量的重要手段。在云平台上,系统和服务的指标项太多、时序形态丰富、异常类型难以枚举,单单的依靠人工规则来做异常发现很达到预期效果;同时,现有的巡检方法多采用SQL发起机器学习函数的方式,拉取部分数据做模型训练,输出结果,在海量的指标数据下反应延迟,成本昂贵,很难充分学习数据的特征而达到很好的效果。

SLS团队,对现有的机器学习方法改进提升,采用流式学习的方式,将机器学习函数变为智能化的机器学习服务,让模型在历史数据流上不断记忆,充分学习样本特征,实时反馈,更进一步降低用户的使用门槛。大家只需发起服务,配置一定的告警阈值,即可实现对指标数据的实时智能巡检。

二、实际业务痛点

  • 指标太多
  • 监控对象太多
  • 阈值参数太多
  • ...

在时序监控场景中,用户往往先确定监控对象,并通过其历史数据,结合业务经验,得到不同组的阈值参数,通过各种手段(同比、环比、连续触发几次等)进行监控,往往一个监控对象要设计4~5条监控规则,并配置不同的参数。还有更大的问题,各个参数阈值无法快速的复用到不同的类似观测对象中,当观测对象的规模达到数千,甚至上万后,传统的配置效率底下,无法满足在大规则时序指标数据下的监控需求。流式算法具有天然的优势可以解决上面的问题,用户只需要发起一个机器学习服务,模型自动拉取数据,实时训练,实时反馈(通俗地说:“来一个点,学习一个点,检测一个点”),在极大的降低成本的同时,实现对每一条线的单独建模,单独分析,单独模型参数保存,实现时序异常检测的“千线千面”。

SQL请求式智能巡检
截屏2020-07-01 下午12.21.27.png

服务化流式智能巡检
截屏2020-07-01 下午12.23.18.png

我们利用Logtail去采集K8S宿主机的秒级指标数据,将数据写入到SLS中去,利用人工经验对这份数据的聚合和采样后,提取出如下8个黄金指标,配置分钟粒度的流式告警。

观测指标 指标名称
系统态CPU使用百分比 cpu_sys
CPU空闲时IO请求时间 cpu_iowait
用户态CPU使用百分比 cpu_user
内存使用情况 mem_usage
存储空间使用情况 disk_usage
使用的文件描述符的个数 fd
网络包重传数量 retrans
系统负载 load

三、功能介绍

SLS团队结合目前国际主流的流式异常检测算法,包括RRCF、HTM、Skyline等流式算法,Time2Graph等最新时序建模方法,自研三大流式巡检功能,提供给大家使用。下面给大家做详细介绍,具体可以参考SLS官方文档

流式统计算法异常检测
流式树算法异常检测
流式图算法异常检测

三种功能分别采用不同类型的算法,对指标时序进行异常检测:

  1. 流式统计算法异常检测主要采用核密度估计等统计学习算法
  2. 流式树算法异常检测主要采用RRCF等树(森林)学习算法
  3. 流式图算法异常检测主要采用Time2Graph等图学习算法

以上三种方法可以针对不同类型的时序异常进行检测,包括:
时序变点异常
变点.png
时序折点异
折点.png
时序周期异常
周期.png
不同的算法功能对不同的异常类型各有擅长,具体如下表所示:

变点异常 折点异常 周期异常
流式统计算法异常检测
流式树算法异常检测
流式图算法异常检测

大家可以根据自己数据的形态,选择相应的功能进行时序智能巡检。有关算法的具体原理可以参考之前的文章,大家也可以去网上查阅相关资料自行阅读。接下来主要给大家介绍下在SLS中该怎么使用这些功能。

接下来主要给大家介绍下在SLS中该怎么使用这些功能。

四、案例实战

我们以一个K8S集群的机器指标数据的案例作为例子,描述如何使用SLS机器学习服务进行指标数据的智能巡检。

4.1 数据导入

我们拉取监控中的机器指标数据,具体的操作步骤可参考:《在SLS中时序指标数据的巡检》

接入数据后,我们可以得到一个按照固定的频率写入SLS中的LogStore的数据,我们可以订阅这个LogStore的数据,并告知算法该数据的Schema,选择需要的检测算法,就可以完成针对数据中的实例(比如:访问日志中的域名、机器指标数据中的机器)进行巡检。

  • 以K8S监控数据为例,一个数据写入的Agent(比如:Python SDK)按照一个固定的频率(60秒)将200多台机器的多维度指标分别写入到LogStore中去,如下图中所展示的:每隔60秒,将每台机器的各种指标,按照[Region, Machine, Index_name, Value]的方式写入到LogStore中;

截屏2020-06-29 下午1.58.18.png

  • 这里每条日志的格式为:

    截屏2020-06-28 下午3.14.21.png
这里, region 表示一个集群,machine 表示一台机器,index_name 表示一个指标,这里我们对8种常用的指标进行监控和分析,包括CPU、内存、负载、网络流量等。 value 表示具体的指标数值。

  • 我们把要进行分析的字段加上索引,开启统计:

截屏2020-06-29 下午5.31.39.png

4.2 参数配置,发起服务

当指标数据接入成功之后,我们可以开启机器学习服务对时序数据进行智能巡检
4.2.1 打开数据加工

  • 我们开启 “数据加工”模式,经过如下截图中的操作步骤

image.png

  • 来到创建数据加工规则的界面,我们要保证填写的AK信息具有对当前LogStore具有可读且能创建消费组的权限,具体操作,请参考《RAM自定义授权场景》;同时在存储目标中,目前仅支持写入到本Project下面,已将创建好的LogStore中,且存储目标中的AK要具有写入权限

image.png

  • 下一步,选择“加工范围”,这里的加工范围所对应的时间是数据达到服务器端的时间,接着就到了模型参数配置部分,针对各个参数的含义我们做一个介绍:

    • 时间列:表示某条日志的时间戳,单位为秒;一般选择 __time__ 这个字段
    • 时间粒度:表示数据写入的频率,这里要求数据对象写入LogStore的频率一致。在这个案例里是60秒
    • 实例列:表示能唯一标记巡检对象的字段,要求是text文本列,可多选。这个案例里是 region machine index_name ,对应了某地区某机器下的某指标。
    • 特征列:表示某巡检对象所对应的特征,要求为数值列,可多选。这个案例里是 value ,即具体的指标数值。

image.png
之后就可以选择相应的算法功能进行异常检测。

4.2.2 配置模型
截屏2020-06-30 下午7.54.18.png
模型参数配置如上图所示,所有的操作为可视化操作。大家输入好对应的选项,选择具体要使用的模型,便可以开启机器学习服务。

我们以流式图算法异常检测作为例子来发起机器学习服务。具体的数据形式
截屏2020-06-30 下午7.55.53.png
时间列是 __time__ ,数据是每隔60s采集一个点,从 region - machine - index_name 唯一确定了一条指标时序(地区-机器-指标),其值是 value 。这里,如果大家知道所要巡检数据的上下界,可以直接填入,当数据超出边界时,会直接判断为异常;若大家不明确,这里可以不填。

我们选择 流式图算法异常检测 这个模型,这里有三个参数需要我们填写:时间粒度是60秒,算法检测间隔与时间粒度一致,即来一个点检测一个点。流式图算法异常检测采用Time2Graph算法,数值默认划分为5段。这里,分成多少段大家可以根据自己的巡检需求来进行设定,一般,分段越少,模型对异常越不敏感,报出的异常点就越少;分段越多反之。周期长度默认长度2880个点,即在60秒采集一个点的情况下,周期长度为48小时;大家如果知道数据明确的周期长度,可以更改。

其他模型的参数配置基本类似,以上,参数配置好后,我们便可以发起机器学习服务,对指标数据进行巡检。那么,我们如何看到巡检的结果呢,接下来我们将以SLS的Dashbord功能为例,帮助大家直观的看到模型巡检的结果。

4.3 Join结果,DashBoard可视化

当服务发起后,没过一个检测间隔,算法便会将结果写入到大家制定的存储目标下,如下面的例子:
截屏2020-06-28 下午3.26.36.png
结果的 __time__ 与来源指标数据的 __time__ 保持一致。写出结果中,包含了能指示一条时序的 entity 信息,数据来源的 meta 信息,以及模型判断的result 信息。 result 中包含了模型判断的是否异常的flag is_anomaly ,是以 score 大于一定阈值筛选出的异常点。

之后,通过 Join 指标数据的LogStore与结果输出的 LogStore,我们可以将异常结果打标到时序曲线中。首先我们开启结果输出的LogStore的索引:
截屏2020-06-29 下午5.45.19.png
SQL join 的案例如下:

  • 过滤出某地区某机器的某指标异常检测结果(这里目标写入的LogStore为 ml-detector-res )
* | select time, score, index_name, machine, region from
(select time, cast(score as double) as score, index_name, machine, region from(
    (select __time__ as time, 
           json_extract_scalar(result, '$.score') as score, 
           json_extract_scalar(entity, '$.index_name') as index_name, 
           json_extract_scalar(entity, '$.machine') as machine, 
           json_extract_scalar(entity, '$.region') as region, 
           job_name from ml-detector-res) 
    HAVING score > 0.75) where region = 'aysls-pub-cn-beijing-k8s' and 
                               machine = '192.168.***.***:***' and 
                               index_name = 'mem_usage'

这里,0.75是一个异常分数阈值,代表着模型判断出的异常程度,大家可以自行设定

  • 在原指标数据LogStore中过滤出对应的时序数据
SELECT __time__ - __time__ % 60 AS time, AVG(value) AS value
FROM log
GROUP BY time

注意,这里避免有重复数据,我们对时序数据按时间做一次聚合。这里数据的时间间隔是60s一个点,大家可以根据自己的数据格式自己定义。

  • 有了异常结果打标与时序数据,我们可以通过join 将异常结果整合到时序中,从而帮助大家看到模型的判断。具体的案例如下:
region: "aysls-pub-cn-beijing-k8s" and 
machine: "192.168.***.***:***" and index_name: "mem_usage" | 
select time, value, 
             case when score is null then 0 else score end as score, 
             case when score is null then 0 else 1 end as label from 
        (select A.time, A.value, B.score, 1 as label from 
             ((select __time__ - __time__ % 60 as time, avg(value) as value from log 
            group by time ) as A left join 
           (select time, cast(score as double) as score, 
                     index_name, machine, region from 
                   (select __time__ as time, 
                           json_extract_scalar(result, '$.score') as score, 
                           json_extract_scalar(entity, '$.index_name') as index_name, 
                           json_extract_scalar(entity, '$.machine') as machine, 
                           json_extract_scalar(entity, '$.region') as region, 
                           job_name from ml-detector-res) 
                   HAVING score > 0.75) where region = 'aysls-pub-cn-beijing-k8s' and 
                               machine = '192.168.***.***:***' and 
                               index_name = 'mem_usage') as B 
       on A.time = B.time) 
        ) order by time limit 100000

执行以上SQL,可以得到如下表格:
截屏2020-06-29 下午4.24.49.png
点击线图,进行配置,就可以得到有异常标注的时序曲线:
截屏2020-06-29 下午4.44.42.png
选择X轴和Y轴,以Label作为信息配置散点列及散点大小:
截屏2020-06-29 下午4.45.29.png
之后我们就可以得到有模型异常标注的时序曲线了。

对于海量的机器,及其指标,我们可以在DashBoard中配置一些过滤器(Filter)以及交互行为,从而更方便的查看模型智能巡检的结果:
a. 选择SQL中要替换的内容,生成对应的变量
截屏2020-06-29 下午4.51.03.png截屏2020-06-29 下午4.51.21.png
b. 通过 SQL 找出可选的实例,比如可选的集群、机器、指标等信息,配置交互行为
截屏2020-06-29 下午4.52.20.png
c. 配置过滤器,用户自动调节异常分数,实现用户自己所需要的不同敏感程度的异常检测
截屏2020-06-29 下午4.51.53.png
通过上述配置,我们最终可以得到针对k8s集群的智能巡检分析报表
截屏2020-07-01 下午2.28.06.png

4.4 配置告警,实时巡检

用户在得到巡检报告报表之后,可以查看模型输出的异常检测结果。用户可以根据自己的告警需求,设置告警阈值,进而得到智能化的告警通知。具体的告警配置请见:https://help.aliyun.com/document_detail/98379.html?spm=5176.2020520112.0.0.e5e034c0Hizt6q

联系我们

纠错或者帮助文档以及最佳实践贡献,请联系:笃林
问题咨询请加钉钉群:
477c776b40abf1fdd879c8b73334c5a0b7276069.jpeg

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
2月前
|
Web App开发 存储 监控
iLogtail 开源两周年:UC 工程师分享日志查询服务建设实践案例
本文为 iLogtail 开源两周年的实践案例分享,讨论了 iLogtail 作为日志采集工具的优势,包括它在性能上超越 Filebeat 的能力,并通过一系列优化解决了在生产环境中替换 Filebeat 和 Logstash 时遇到的挑战。
116 14
|
1月前
|
机器学习/深度学习 数据采集 运维
智能化运维:机器学习在故障预测和自动化响应中的应用
智能化运维:机器学习在故障预测和自动化响应中的应用
55 4
|
2月前
|
机器学习/深度学习 数据采集 运维
智能化运维:机器学习在故障预测和自动化响应中的应用
【10月更文挑战第1天】智能化运维:机器学习在故障预测和自动化响应中的应用
69 3
|
2月前
|
开发工具 git
git显示开发日志+WinSW——将.exe文件注册为服务的一个工具+图床PicGo+kubeconfig 多个集群配置 如何切换
git显示开发日志+WinSW——将.exe文件注册为服务的一个工具+图床PicGo+kubeconfig 多个集群配置 如何切换
39 1
|
2月前
|
存储 缓存 网络协议
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
154 0
|
3月前
|
机器学习/深度学习 人工智能 搜索推荐
如何让你的Uno Platform应用秒变AI大神?从零开始,轻松集成机器学习功能,让应用智能起来,用户惊呼太神奇!
【9月更文挑战第8天】随着技术的发展,人工智能与机器学习已融入日常生活,特别是在移动应用开发中。Uno Platform 是一个强大的框架,支持使用 C# 和 XAML 开发跨平台应用(涵盖 Windows、macOS、iOS、Android 和 Web)。本文探讨如何在 Uno Platform 中集成机器学习功能,通过示例代码展示从模型选择、训练到应用集成的全过程,并介绍如何利用 Onnx Runtime 等库实现在 Uno 平台上的模型运行,最终提升应用智能化水平和用户体验。
64 1
|
3月前
|
SQL 人工智能 运维
在阿里云日志服务轻松落地您的AI模型服务——让您的数据更容易产生洞见和实现价值
您有大量的数据,数据的存储和管理消耗您大量的成本,您知道这些数据隐藏着巨大的价值,但是您总觉得还没有把数据的价值变现出来,对吗?来吧,我们用一系列的案例帮您轻松落地AI模型服务,实现数据价值的变现......
229 3
|
4月前
|
机器学习/深度学习 缓存 运维
智能化运维:机器学习在IT管理中的革命性应用
【8月更文挑战第28天】 随着技术的飞速发展,传统的IT运维方式已不能满足现代企业的需求。智能化运维,通过整合机器学习技术,正在重塑我们对IT基础设施的管理方法。本文将探讨智能化运维的概念、实施步骤及其带来的变革,同时分享一些成功案例,以期为读者提供一种全新的视角和思考路径。
63 6
|
4月前
|
图形学 机器学习/深度学习 人工智能
颠覆传统游戏开发,解锁未来娱乐新纪元:深度解析如何运用Unity引擎结合机器学习技术,打造具备自我进化能力的智能游戏角色,彻底改变你的游戏体验——从基础设置到高级应用全面指南
【8月更文挑战第31天】本文探讨了如何在Unity中利用机器学习增强游戏智能。作为领先的游戏开发引擎,Unity通过ML-Agents Toolkit等工具支持AI代理的强化学习训练,使游戏角色能自主学习完成任务。文章提供了一个迷宫游戏示例及其C#脚本,展示了环境观察、动作响应及奖励机制的设计,并介绍了如何设置训练流程。此外,还提到了Unity与其他机器学习框架(如TensorFlow和PyTorch)的集成,以实现更复杂的游戏玩法。通过这些技术,游戏的智能化程度得以显著提升,为玩家带来更丰富的体验。
66 1
|
4月前
|
机器学习/深度学习 存储 前端开发
实战揭秘:如何借助TensorFlow.js的强大力量,轻松将高效能的机器学习模型无缝集成到Web浏览器中,从而打造智能化的前端应用并优化用户体验
【8月更文挑战第31天】将机器学习模型集成到Web应用中,可让用户在浏览器内体验智能化功能。TensorFlow.js作为在客户端浏览器中运行的库,提供了强大支持。本文通过问答形式详细介绍如何使用TensorFlow.js将机器学习模型带入Web浏览器,并通过具体示例代码展示最佳实践。首先,需在HTML文件中引入TensorFlow.js库;接着,可通过加载预训练模型如MobileNet实现图像分类;然后,编写代码处理图像识别并显示结果;此外,还介绍了如何训练自定义模型及优化模型性能的方法,包括模型量化、剪枝和压缩等。
58 1

相关产品

  • 日志服务