インテリジェント異常分析は、その結果を `internal-ml-log` という名前の Logstore に保存します。本トピックでは、これらの結果に含まれるフィールドについて説明します。
2025 年 7 月 15 日 (UTC+08:00) 以降、インテリジェント異常分析機能は新規ユーザーには提供されなくなります。既存のユーザーは引き続き利用できます。
影響範囲
以下のコア機能は公開されなくなります:インテリジェント検査、テキスト分析、時系列予測。
機能移行ソリューション
Simple Log Service の 機械学習構文、スケジュールされたクエリと分析 (スケジュールされた SQL)、および ダッシュボード 機能は、公開されなくなる機能を完全に置き換えることができます。
共通タグ構造
すべてのタスクタイプの結果データには、以下の共通フィールドが含まれます。
タスクの結果データは、__tag__:__job_name__ フィールドと __tag__:__schedule_id__ フィールドを使用してクエリできます。
__tag__:__apply_time__:1638414250
__tag__:__batch_id__:a8343****5b0fd
__tag__:__data_type__:anomaly_detect
__tag__:__instance_name__:29030-****7bcdd
__tag__:__job_name__:etl-1637****3966-398245
__tag__:__model_name__:d52b5****c45397
__tag__:__region__:chengdu
__tag__:__schedule_id__:2457f****ebcdd|
フィールド |
説明 |
|
|
モデルがデータバッチを検査した時間 (秒単位) です。 |
|
|
バッチ ID。単一のアルゴリズム実行で処理されるすべてのデータには、同じバッチ ID がタグ付けされます。 |
|
|
データのタイプ。有効な値は次のとおりです:
|
|
|
タスクインスタンスの名前。プロジェクト ID とスケジュール ID で構成されます。 各インテリジェント検査タスクは、バックエンドサービスのインスタンス名にマッピングされます。 |
|
|
タスク名。名前はプロジェクト内で一意である必要があります。 |
|
|
モデル名。タスク内の各エンティティに対して一意のモデルが作成され、各モデル名は時系列エンティティに対応します。 |
|
|
タスクが実行されるリージョン。 |
|
|
タスクインスタンス ID。 各タスクは、バックエンドサービスのインスタンス ID にマッピングされます。 |
インテリジェント検査 (モデルトレーニング)
tag:data_type フィールドの値が異なると、ログタイプも異なります。
ランタイム統計
モデルトレーニングタスクの結果データ内の __tag__:__data_type__ フィールドが job_statistic に設定されている場合、そのデータはタスクのランタイム統計を表します。
|
パラメーター |
説明 |
|
meta |
モデルトレーニングタスクのデータソースを含むプロジェクトと Logstore を記述します。データは JSON 形式です。 |
|
project_name |
モデルトレーニングタスクのデータソースを含むプロジェクト。 |
|
logstore_name |
モデルトレーニングタスクのデータソースを含む Logstore。 |
|
result |
JSON 形式の結果コンテンツ。 |
|
event_msg |
指定されたタイムスタンプにおけるモデルトレーニングタスクの進捗を記述します。 |
|
occ_time |
モデルトレーニングタスクの進捗のタイムスタンプ。 |
|
tips |
モデルトレーニングタスクの進捗を要約します。例:「モデルが保存されました」。 |
検出結果
モデルトレーニングタスクの結果データ内の __tag__:__data_type__ フィールドが detection_process に設定されている場合、そのデータはタスクの検出結果を表します。
|
パラメーター |
説明 |
|
meta |
モデルトレーニングタスクのデータソースを含むプロジェクトと Logstore を記述します。データは JSON 形式です。 |
|
project_name |
モデルトレーニングタスクのデータソースを含むプロジェクト。 |
|
logstore_name |
モデルトレーニングタスクのデータソースを含む Logstore。 |
|
result |
JSON 形式の結果コンテンツ。 |
|
dim_name |
エンティティの特徴量の名前。 |
|
score |
特定の時点におけるエンティティの特徴量の異常スコア。 |
|
value |
特定の時点におけるエンティティの特徴量の値。 |
|
is_train_step |
エンティティのデータポイントがトレーニングセットに属するかどうかを示します。 |
検証データセットの結果
モデルトレーニングタスクの結果データ内の __tag__:__data_type__ フィールドが eval_report に設定されている場合、そのデータはタスク完了後の各エンティティの検証データセットの結果を表します。
|
パラメーター |
説明 |
|
entity |
モデルが属するエンティティを識別します。データはキーと値のペアの形式です。 |
|
meta |
モデルトレーニングタスクのデータソースを含むプロジェクトと Logstore を記述します。データは JSON 形式です。 |
|
project_name |
モデルトレーニングタスクのデータソースを含むプロジェクト。 |
|
logstore_name |
モデルトレーニングタスクのデータソースを含む Logstore。 |
|
result |
JSON 形式の結果コンテンツ。 |
|
evaluation_metrics.auc |
エンティティの教師ありモデルによって計算された、検証データセットの AUC。 |
|
evaluation_metrics.macro_f1 |
エンティティの教師ありモデルによって計算された、検証データセットのマクロ F1 スコア。 |
|
evaluation_metrics.precision |
エンティティの教師ありモデルによって計算された、検証データセットの精度。 |
|
evaluation_metrics.recall |
エンティティの教師ありモデルによって計算された、検証データセットの再現率。 |
|
time_config.training_start_time |
エンティティのモデルトレーニングの開始時刻 (秒単位)。 |
|
time_config.training_stop_time |
エンティティのモデルトレーニングの終了時刻 (秒単位)。 |
|
time_config.validation_end_time |
エンティティのモデル検証の終了時刻 (秒単位)。 |
|
time_config.predict_time |
エンティティのモデル検証の持続時間 (秒単位)。 |
|
time_config.train_time |
エンティティのモデルトレーニングの持続時間 (秒単位)。 |
|
statistic.train_data_meta.train_anomaly_num |
エンティティのトレーニングセット内の異常点の数。 |
|
statistic.train_data_meta.train_data_length |
エンティティのトレーニングセットの長さ。 |
|
statistic.evaluation_data_meta.evaluation_anomaly_num |
エンティティの検証データセット内の異常点の数。 |
|
statistic.evaluation_data_meta.evaluation_data_length |
エンティティの検証データセットの長さ。 |
インテリジェント検査
tag:data_type フィールドはログタイプを指定します。
ランタイム統計
結果データ内の __tag__:__data_type__ フィールドが job_statistic に設定されている場合、そのデータにはタスクのランタイム統計が含まれます。
{
"__tag__:__job_name__": "etl-1637133966-398245",
"__tag__:__region__": "chengdu",
"__tag__:__data_type__": "job_statistic",
"__tag__:__apply_time__": "1638415928",
"__tag__:__instance_name__": "29030-2457fbbd724de9421da8c73d37debcdd",
"result": {
"maxEntity": {
"host": "machine_001",
"ip": "192.0.2.1"
},
"maxTime": 1638415994,
"minEntity": {
"host": "machine_001",
"ip": "192.0.2.1"
},
"minTime": 1638415994,
"nTotalEntity": 1
}
}|
パラメーター |
説明 |
|
result |
結果オブジェクト。データは JSON 形式です。 |
|
maxEntity |
現在のデータ消費に対して最新のデータポイントを持つエンティティに関する情報。 |
|
maxTime |
現在のデータ消費に対して、エンティティからの最新のデータポイントのタイムスタンプ。 |
|
nTotalEntity |
現在のタスクが検査しているエンティティの総数。 |
エンティティ検査の進捗
結果データ内の __tag__:__data_type__ フィールドが job_progress に設定されている場合、そのデータは特定のエンティティの検査進捗を示します。この情報は、新しいエンティティが検出されたか、または既存のエンティティがデータの送信を停止したかを判断するのに役立ちます。
{
"__tag__:__job_name__": "etl-1637133966-398245",
"__tag__:__region__": "chengdu",
"__tag__:__data_type__": "job_progress",
"__tag__:__apply_time__": "1638415883",
"__tag__:__instance_name__": "29030-2457fbbd724de9421da8c73d37debcdd",
"result": {
"new_entity": false,
"recently_arrived_time": 1638415994
},
"meta": {
"logstore_name": "machine_monitor",
"project_name": "sls-ml-demo"
},
"entity": {
"host": "machine_001",
"ip": "192.0.2.1"
}
}|
パラメーター |
説明 |
|
meta |
現在のタスクのプロジェクトと Logstore に関する情報を含む JSON オブジェクト。 |
|
project_name |
リアルタイム検査タスクのデータソースを含むプロジェクト。 |
|
logstore_name |
リアルタイム検査タスクのデータソースを含む Logstore。 |
|
result |
結果オブジェクト。データは JSON 形式です。 |
|
new_entity |
新しいエンティティが検出されたかどうかを示します。 |
|
recently_arrived_time |
entity フィールドで指定されたエンティティから受信した最後の有効なデータポイントのタイムスタンプ。 |
|
entity |
エンティティを識別するディメンションを含む JSON オブジェクト。 |
異常結果データ
結果データ内の __tag__:__data_type__ フィールドが anomaly_detect に設定されている場合、そのデータには異常検知の結果が含まれます。
{
"__time__": 1638416474,
"__tag__:__batch_id__": "a5870979816fc507cbeebc6b1133af0a",
"__tag__:__schedule_id__": "2457fbbd724de9421da8c73d37debcdd",
"__tag__:__apply_time__": "1638416291",
"__tag__:__job_name__": "etl-1637133966-398245",
"__tag__:__model_name__": "d52b59a6bfb3adcf2ee62a5064c45397",
"__tag__:__data_type__": "anomaly_detect",
"__tag__:__region__": "chengdu",
"__tag__:__instance_name__": "29030-2457fbbd724de9421da8c73d37debcdd",
"result": {
"anomaly_type": "None",
"dim_name": "value",
"is_anomaly": false,
"score": 0,
"value": "0.780000"
},
"meta": {
"logstore_name": "machine_monitor",
"project_name": "sls-ml-demo"
},
"entity": {
"host": "machine_001",
"ip": "192.0.2.1"
}
}|
パラメーター |
説明 |
|
entity |
特定のモニタリングエンティティを識別する、ソースデータから派生した JSON オブジェクト。 |
|
meta |
インテリジェント検査タスクの構成から派生した JSON オブジェクト。 |
|
project_name |
Logstore を含むプロジェクト。 |
|
logstore_name |
データソースを含む Logstore。 |
|
result |
各データポイントのインテリジェント検査結果を含む結果オブジェクト。 |
|
dim_name |
ソースデータから派生したメトリックの名前。 単変量および多変量の両方の時系列について、各 result オブジェクトには、単一のメトリックの検査結果が含まれます。 |
|
value |
result.dim_name によって識別されるメトリックの値。ソースデータから派生します。 |
|
score |
異常の深刻度を定量化する 0 から 1 までの異常スコア。スコアが高いほど、より深刻な異常を示します。 |
|
is_anomaly |
データポイントが異常と見なされるかどうかを示します。
|
|
anomaly_type |
モデルによって予備的に決定された異常タイプ。サポートされているタイプには、スパイク、ドリフト、ジッター、欠損、しきい値超過が含まれます。詳細については、「異常タイプ」をご参照ください。 |
テキスト分析
このテーブルは、共通の tag フィールドを除いた、テキスト分析の共通フィールドをリストしています。
|
パラメーター |
説明 |
|
algo_type |
アルゴリズムのタイプ。 |
|
result_type |
結果のタイプ。 |
|
result |
JSON 形式の結果コンテンツ。 result フィールドの値は、result_type フィールドの値に依存します。 |
|
meta |
JSON 形式のメタデータ。 |
|
project_name |
Logstore を含むプロジェクト。 |
|
LogStore_name |
データソースを含む Logstore。 |
|
topic |
データソースのログトピック。 |
|
query |
コンシューマーグループの使用など、データをプルするメソッド。 |
|
win_size |
タイムウィンドウの長さ。 |
|
version |
アルゴリズムのバージョン。 |
result フィールドの値は result_type フィールドに依存します。result フィールドについては、以下で詳しく説明します。
result_type フィールドは cluster_info です
result_type フィールドが cluster_info の場合、result フィールドには次のようにログカテゴリ情報が含まれます:
"result": {
"cluster_id": "xxxx",
"cluster_pattern": "xxxx",
"cluster_active_age": 120,
"cluster_alive_age": 150,
"anomaly_score": 0.1,
"count": 2,
"source": []
}|
パラメーター |
説明 |
|
result.cluster_id |
ログカテゴリの ID。 |
|
result.cluster_pattern |
ログカテゴリのログテンプレート。 |
|
result.cluster_active_age |
ログカテゴリがアクティブであったタイムウィンドウの数。 ログカテゴリは、そのカテゴリのログがそのウィンドウに表示される場合、タイムウィンドウ内でアクティブです。 |
|
result.cluster_alive_age |
ログカテゴリが最初に表示されてからのタイムウィンドウの数。 |
|
result.anomaly_score |
ログカテゴリの異常スコア。 |
|
result.count |
ログカテゴリ内のログの数。 |
|
result.source |
ログテンプレート内の変数の可能な値。 |
result_type フィールドが group_info の場合
result_type フィールドが group_info の場合、result フィールドには次のようにログカテゴリグループに関する情報が含まれます:
"result": {
"group_anomaly_score": 0.1,
"group_age": 10,
"group_n_event": 190,
"group_n_cluster": 10
}|
パラメーター |
説明 |
|
result.group_anomaly_score |
ログカテゴリグループの異常スコア。 |
|
result.group_age |
現在のタイムウィンドウのシーケンス番号。 |
|
result.group_n_event |
現在のタイムウィンドウ中のログカテゴリグループ内のログの総数。 |
|
result.group_n_cluster |
現在のタイムウィンドウ中のログカテゴリグループ内のログカテゴリの総数。 |
result_type フィールドは anomaly_info です
result_type フィールドが anomaly_info の場合、result フィールドには次のように異常イベントに関する情報が含まれます:
"result": {
"anomaly_id": "xxxx",
"anomaly_type": "xxxx",
"value": 0,
"anomaly_score": 0.0,
"expect_lower": 0.0,
"expect_upper": 0.0
}|
パラメーター |
説明 |
|
result.anomaly_id |
異常に関連付けられたログカテゴリの ID。 |
|
result.anomaly_type |
異常タイプ。 |
|
result.value |
イベント値。 result.anomaly_type フィールドの値が result.value フィールドの意味を決定します。 |
|
result.anomaly_score |
異常スコア。 |
|
result.expect_lower |
期待されるイベント値 (result.value フィールド) の下限。 |
|
result.expect_upper |
result.value フィールドの期待されるイベント値の上限。 |
時系列予測
このテーブルは、共通の tag フィールドを除いた、時系列予測結果の共通フィールドを説明します。
|
パラメーター |
説明 |
|
algo_type |
アルゴリズムのタイプ。値は |
|
result_type |
結果のタイプ。 成功した操作の場合は |
|
result |
JSON 形式の結果コンテンツ。 result フィールドの値は、result_type フィールドの値に依存します。 |
|
meta |
JSON 形式のメタデータ。 |
|
project_name |
Logstore を含むプロジェクトの名前。 |
|
LogStore_name |
データソースを含む Logstore の名前。 |
|
topic |
データソースのログトピック。 |
|
version |
アルゴリズムのバージョン。 |
result フィールドの構造は result_type フィールドの値に依存します。以下のセクションでは、result フィールドについて詳しく説明します。
result_type が prediction_ok の場合
result_type フィールドが prediction_ok の場合、予測は成功です。各ログには、時系列の 1 つのポイントの予測結果が含まれます。対応する result フィールドは次のように構造化されています:
{
"entity": "xxxx",
"metric": "xxxx",
"time": xxxx,
"value": "xxxx",
"expect_value": "xxxx",
"expect_lower": "xxxx",
"expect_upper": "xxxx"
}|
パラメーター |
説明 |
|
result.entity |
時系列のエンティティ ID。 |
|
result.metric |
時系列のメトリック。 |
|
result.time |
時系列の現在のポイントのタイムスタンプ。 |
|
result.value |
現在のポイントの実際の値。 |
|
result.expect_value |
現在のポイントの予測値。 |
|
result.expect_lower |
現在のポイントの予測下限値。 |
|
result.expect_upper |
現在のポイントの予測上限値。 |
result_type が prediction_error の場合
result_type フィールドが prediction_error の場合 (この場合、__tag__:__data_type__ フィールドは job_error_message)、予測は失敗しました。対応する result フィールドは次のように構造化されています:
{
"entity": "xxxx",
"metric": "xxxx",
"error_type": "xxxx",
"error_msg": "xxxx"
}|
パラメーター |
説明 |
|
result.entity |
時系列のエンティティ ID。 |
|
result.metric |
時系列のメトリック。 |
|
result.error_type |
エラータイプ。 |
|
result.error_msg |
エラーの詳細。 |
ドリルダウン分析
このテーブルは、共通の tag フィールドを除いた、ドリルダウン分析結果の共通フィールドをリストしています。
|
パラメーター |
説明 |
|
result |
結果は JSON オブジェクトです。 result フィールドの値は __tag__:__data_type__ フィールドに依存します。 |
__tag__:__data_type__ フィールドはログタイプを示します。
進捗
tag:data_type フィールドの値が job_progress の場合、result フィールドにはタスクの進捗情報が含まれます。
|
フィールド |
説明 |
|
result.from_ts |
タスクの開始時刻。 |
|
result.to_ts |
タスクの終了時刻。 |
|
result.progress |
タスクの現在の進捗。 |
|
result.message |
タスクの現在の進捗に関するステータス情報。 |
ステータス
tag:data_type フィールドの値が job_status の場合、result フィールドにはドリルダウン分析タスクのステータス情報が含まれます。
|
フィールド |
説明 |
|
result.from_ts |
タスクの開始時刻。 |
|
result.to_ts |
タスクの終了時刻。 |
|
result.status |
タスクのステータス。 |
|
result.message |
タスクのステータス情報。 |
根本原因
tag:data_type フィールドの値が root_cause の場合、result フィールドにはドリルダウン分析からの根本原因情報が含まれます。
|
フィールド |
説明 |
|
result.status |
イベントの根本原因が見つかったかどうかを指定します。有効な値は次のとおりです:
|
|
result.snapshot_time |
ドリルダウン分析に使用された多次元時系列データのタイムスタンプ。 |
|
result.elapsed_time |
イベントの根本原因分析の持続時間。 |
|
result.event_info |
根本原因分析をトリガーしたイベント。 |
|
result.root_cause |
result.status が |
|
result.reason |
result.status が |