SLS Intelligent Anomaly Analysis - architecture benefits limits - Simple Log Service

インテリジェント異常分析は、高可用性かつスケーラブルな Simple Log Service (SLS) のアプリケーションで、インテリジェント検査、テキスト分析、根本原因分析を提供します。

重要

2025年7月15日 (UTC+8) 以降、インテリジェント異常分析機能は新規ユーザーには提供されなくなります。既存のユーザーは引き続き利用できます。

影響範囲

インテリジェント検査、テキスト分析、時系列予測などのコア機能は提供を終了します。
機能の移行ソリューション

SLS の機械学習構文、スケジュールされたクエリと分析 (スケジュールされた SQL)、ダッシュボードの各機能で、提供を終了する機能を完全に代替できます。

サービスアーキテクチャ

インテリジェント異常分析は、O&M シナリオにおけるメトリクス、ログ、およびサービスリレーションシップに機械学習を適用します。サービストポロジを通じて時系列データとイベントを相関させることで異常イベントを生成し、O&M の複雑さを軽減し、サービス品質を向上させます。

主要コンポーネント：

Logstore：SLS はログデータを格納するための Logstore を提供します。SQL-92 構文を使用してログのクエリと分析を行います。詳細については、「ログのクエリと分析の概要」をご参照ください。
Metricstore：SLS は時系列データを格納するための Metricstore を提供します。SQL-92 または PromQL 構文を使用してメトリクスを分析します。詳細については、「メトリックデータのクエリと分析構文」をご参照ください。
機械学習アルゴリズム：SLS は、時系列データおよびテキストデータ向けのシナリオ固有のアルゴリズムを提供し、異常データを生成します。詳細については、「インテリジェント検査アルゴリズム」および「テキスト分析アルゴリズム」をご参照ください。
アラート：異常結果についてアラートを生成します。詳細については、「Simple Log Service のアラート機能とは」をご参照ください。

メリット

多数のエンティティメトリクスにわたる異常を、最小限の設定で検出できます。特定のアラートルールは不要です。
非構造化テキストログを分析し、異常なパターンを自動的に検出できます。
アルゴリズムの結果にアノテーションを付けることができ、時間とともにモデルの精度が向上します。
SLS の高可用性とデータ信頼性に基づいて、99.9% のアラート可用性を実現します。
SLS のアラート機能と緊密に連携し、シームレスなエクスペリエンスを提供します。

シナリオ

推奨シナリオ：

多次元にわたって多数のオブジェクトを監視する必要がある場合。
メトリクス曲線に明確なしきい値ルールがない場合。
多数の監視ルールを手動で管理することが非現実的である場合。
非構造化ログデータを処理しながら、テキストログからパターンをマイニングする必要がある場合。
トレースシナリオに定義済みのサービストポロジがある場合。
カスタムのサービストポロジがある場合。

用語

基本概念	説明
時系列	UNIX タイムスタンプと共に等間隔で記録されたメトリック値で、ヘルスチェックアルゴリズムの入力として必要です。
エンティティ	インテリジェント検査タスクで監視されるオブジェクト。たとえば、マシン上のサービスに対するエンティティは、`"192.0.2.0": machine IP address, "80": service port number` のように記述されます。マシン IP アドレスとサービスポート番号を使用して、エンティティを一意に識別できます。
ゴールデン指標	サービス品質や監視対象エンティティの安定性を正確に表すメトリック。例：ドメイン名のリクエスト品質を記述する場合、対応するゴールデン指標は、1 分あたりの平均応答レイテンシー、1 分あたりのリクエスト数、1 分あたりの失敗リクエスト数、1 分あたりの書き込みトラフィック量です。マシンの状態を記述する場合、対応するゴールデン指標は、1 分あたりのユーザーモードでの CPU 使用率、1 分あたりのカーネルモードでの CPU 使用率、1 分あたりの常駐メモリサイズ、1 分あたりのディスク I/O 数、1 分あたりの平均システム負荷です。 OSS バケットの状態を記述する場合、対応するゴールデン指標は、1 分あたりのバケットへの書き込み操作数、1 分あたりのバケットからの読み取り操作数、1 分あたりのバケットへの書き込みトラフィック量です。
異常タイプ	7 つの組み込み異常タイプにより、関心のあるポイントをフィルタリングできます。詳細については、「インテリジェント検査の異常タイプ」および「テキスト分析の異常タイプ」をご参照ください。
正規化方法	次元を持つ式を無次元のスカラーに変換し、異常検出の効果を高めます。
フィルタリング方法	特定の周波数帯の信号を除去して干渉を抑制します。より滑らかな曲線を生成し、異常検出の効果を高めます。
アノテーション付け	インテリジェント検査の結果にラベルを付け、異常分析システムへのフィードバックとして提供します。
誤検知	モデルが報告した異常が不正確であると思われる場合は、誤検知としてラベル付けします。システムはこのフィードバックをモデルの再トレーニングに使用します。
偽陰性	モデルが異常を見逃した場合、任意のデータポイントに手動でラベルを付け、検知漏れを報告します。
パターン抽出	テキストからパターンを抽出し、類似したテキストのクラスを表します。
クラスタリング	類似したオブジェクトをクラスターにグループ化します。クラスター内のオブジェクトは互いに類似しており、他のクラスターのオブジェクトとは異なります。
教師なし	ラベル付けされていないトレーニングサンプルを使用したパターン認識。
教師あり	ラベル付けされたトレーニングデータから関数またはモデルを推論します。
ログ定数	ログは、プログラム内の `logging` または `print` ステートメントによって生成されることがよくあります。たとえば、ログ `connect mysql server, latency 212ms` は、ログ出力ステートメント `logging.info("connect mysql server, latency %dms")` によって生成される場合があります。ログ出力ステートメントが実行されるたびに含まれる部分はログ定数と呼ばれます。たとえば、`connect mysql server, latency ms` です。
ログ変数	ログは、プログラム内の `logging` または `print` ステートメントによって生成されることがよくあります。たとえば、ログ `connect mysql server, latency 212ms` は、ログ出力ステートメント `logging.info("connect mysql server, latency %dms")` によって生成される場合があります。ログ出力ステートメントが実行されるたびに変化する部分はログ変数と呼ばれます。この例では、数値 `212` が該当します。
ログテンプレート	ログの定数部分と、変数部分を表すワイルドカード文字で構成されるテキストは、ログテンプレートと呼ばれます。たとえば、`connect mysql server, latency 212ms` ログのテンプレートは `connect mysql server, latency ms` です。アスタリスク () ワイルドカード文字は、数値変数 `212` を置き換えます。変数の種類に基づいてワイルドカード文字を選択できます。たとえば、`NUM` を使用して数値変数を表すことができます。その場合、ログテンプレートは `connect mysql server, latency NUMms` となります。
ログクラス	各ログクラスには、そのクラスを表すログテンプレートが含まれます。ログの内容がログテンプレートと一致する場合、そのログはそのログクラスに属すると見なされます。

制限事項

ジョブタイプ	制限事項	説明
インテリジェント検査	検査エンティティの規模	単一のタスクでサポートされる検査エンティティは最大 10,000 です。この制限の引き上げをご希望の場合は、チケットを起票してください。
	検査時系列の粒度	単一エンティティの曲線は、等間隔で連続している必要があります。SQL シナリオでは、サポートされる最小粒度は分単位です。より細かい粒度が必要な場合は、チケットを起票してください。
	異常結果の通知	現在、異常結果のフィードバックラベリングをサポートしているのは、DingTalk ロボット通知チャネルのみです。他の通知チャネルについては、チケットを起票してください。
テキスト分析	テキストフィールドの規模	タスクごとに最大 5 つのテキストフィールドがサポートされます。
テキスト分析	一般フィールドテンプレートの規模	タスクごとに最大 6 つの一般フィールドテンプレートがサポートされます。

課金

インテリジェント検査アプリケーションはパブリックプレビュー段階であり、無料でご利用いただけます。