Megosztás a következőn keresztül:

Anomáliadetektálás a végpontelemzésben

  • Cikk

Megjegyzés:

Ez a képesség intune-bővítményként érhető el. További információ: Intune-bővítmények.

Ez a cikk azt ismerteti, hogyan működik az anomáliadetektálás az Endpoint Analyticsben korai figyelmeztető rendszerként.

Az anomáliadetektálás figyeli a szervezet eszközeinek állapotát a felhasználói élmény és a hatékonyság visszaesése érdekében a konfiguráció módosításait követően. Hiba esetén az Anomáliák korrelálják a megfelelő üzembehelyezési objektumokat a gyors hibaelhárítás, a kiváltó okok és a szervizelés lehetővé tétele érdekében.

A rendszergazdák az anomáliadetektálásra támaszkodva megismerhetik a problémákat befolyásoló felhasználói élményt, mielőtt más csatornákon keresztül elérik őket. Az anomáliadetektálás elsődleges célja az alkalmazás lefagyása/összeomlása és a hibák újraindításának leállítása.

Áttekintés

Az anomáliadetektálással észlelheti a rendszer lehetséges problémáit, mielőtt súlyos problémává válnának. A támogatási csapatok hagyományosan korlátozott betekintést kapnak a lehetséges problémákba.

  • gyakran csak a támogatási csatornán keresztül jelentett/eszkalált problémák egy részhalmazát kapják meg, ami nem igazán reprezentatív a szervezeten belüli mindenre.

  • Számtalan órát kell tölteniük az egyéni irányítópultok áttekintésével, amelyek megpróbálják azonosítani a kiváltó okot, elhárítják a hibákat, egyéni riasztásokat hoznak létre, módosítják a küszöbértékeket és módosítják a paramétereket.

Az anomáliadetektálás célja ezeknek a problémáknak a megoldása azáltal, hogy lehetővé teszi az informatikai rendszergazdák számára a kritikus fontosságú információk biztosítását.

Az anomáliák észlelése mellett megtekintheti az eszköz korrelációs csoportjait a közepes és nagy súlyosságú anomáliák lehetséges kiváltó okainak feltárásához. Ezek az eszköz kohorszok lehetővé teszik az eszközök között azonosított minták megtekintését. Proaktív módon közelítettük meg az eszközkezelést, és azonosítottuk a "veszélyeztetett" eszközöket is ezekben a kohorszokban. Ezek azok az eszközök, amelyek nagy megbízhatósággal tartoznak az azonosított minták alá, de még nem látták ezeket az anomáliákat.

Megjegyzés:

Az eszköz kohorszait csak közepes és nagy súlyosságú anomáliák azonosítják.

Előfeltételek

  • Licencelés/előfizetések: Az Endpoint Analytics speciális funkciói intune-bővítményként érhetők el a Microsoft Intune Suite alatt, és további költségekkel járnak a Microsoft Intune licencelési lehetőségekhez.

  • Engedélyek: Az anomáliadetektálás beépített szerepkör-engedélyeket használ

Anomáliák lap

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza aJelentésvégpont-elemzés>>áttekintése lehetőséget.

  3. Válassza az Anomáliák fület. Az Anomáliák lap gyors áttekintést nyújt a szervezetben észlelt anomáliákról.

  4. Ebben a példában az Anomáliák lapon egy közepes súlyosságúanomália látható. Szűrők hozzáadásával pontosíthatja a listát.

    Ez a képernyőkép a Végpontelemzés Áttekintés szakaszának Anomáliák lapját ábrázolja

  5. Ha további információt szeretne látni egy adott elemről, válassza ki a listából. Megtekintheti például az alkalmazás nevét, az érintett eszközöket, a probléma első észlelésének és utolsó előfordulásának időpontját, valamint azokat az eszközcsoportokat, amelyek hozzájárulhatnak a problémához.

    Ez a képernyőkép az Anomália lapon megjelenő anomália kiválasztásakor megjelenő részletekről

  6. Válasszon ki egy eszköz korrelációs csoportot a listából az eszközök gyakori tényezőinek részletes megtekintéséhez. Az eszközök egy vagy több megosztott attribútum, például az alkalmazásverzió, az illesztőprogram frissítése, az operációs rendszer verziója és az eszközmodell alapján vannak korrelálva. Láthatja az anomália által jelenleg érintett eszközök számát és az anomáliával veszélyeztetett eszközöket. Az előfordulási arány egy korrelációs csoport tagjaiból származó anomáliából származó érintett eszközök százalékos arányát is megmutatja.

    Képernyőkép az eszköz korrelációs csoportjairól

  7. Válassza az Érintett eszközök megtekintése lehetőséget az egyes eszközökre vonatkozó főbb attribútumokkal rendelkező eszközök listájának megjelenítéséhez. Szűréssel megtekintheti az eszközöket adott korrelációs csoportokban, vagy megjelenítheti az adott rendellenesség által érintett összes eszközt a szervezetben. Emellett az eszköz idővonalán további rendellenes események láthatók.

    Képernyőkép az érintett eszközök listájáról

Statisztikai modellek az anomáliák meghatározásához

A beépített elemzési modell észleli az eszköz kohorszjait, amelyek a leállási hibák rendellenes újraindításával szembesülnek, és az alkalmazások lefagynak vagy összeomlanak, amelyek kezeléséhez és megoldásához rendszergazdai beavatkozásra van szükség. Az érzékelő telemetriai és diagnosztikai naplóiból azonosított minták határozzák meg ezeket az eszköz kohorszokat

  • Küszöbérték-alapú heurisztikus modell: A heurisztikus modell egy vagy több küszöbérték beállítását foglalja magában az alkalmazás lefagyása/összeomlása vagy a hiba újraindításának leállítása céljából. Az eszközök rendellenesként vannak megjelölve, ha a fenti küszöbértékben szabálysértés van. A modell egyszerű, mégis hatékony; alkalmas az eszközökkel vagy alkalmazásokkal kapcsolatos kiemelt vagy statikus problémák elhárítására. Jelenleg a küszöbértékek előre meghatározottak, és nincs lehetőség a testreszabásra. 

  • Párosított t-tesztek modellje: A párosított t-tesztek olyan matematikai módszerek, amelyek összehasonlítják az adathalmazban található megfigyeléspárokat, és statisztikailag jelentős távolságot keresnek az eszközeik között. A teszteket olyan adathalmazokon használják, amelyek valamilyen módon egymáshoz kapcsolódó megfigyelésekből állnak. Például a szabályzat módosítása előtt és után ugyanabból az eszközről történő újraindítások leállásának száma, vagy az alkalmazás összeomlik egy eszközön az operációs rendszer (operációs rendszerek) frissítése után.

  • Population Z-score model: Population Z-score based statistical models involve calculating the standard deviation and mean of a dataset, then using those values to determin which data points are anomalous. A szórás és a középérték az egyes adatpontokkal kapcsolatos Z-pontszám kiszámítására szolgál, amely a szórások átlagtól való eltérésének számát jelöli. Egy bizonyos tartományon kívül eső adatpontok rendellenesek. Ez a modell kiválóan alkalmas arra, hogy kiemelje a szélesebb alapkonfigurációból származó kiugró eszközöket vagy alkalmazásokat, de a pontossághoz elegendően nagy adathalmazra van szükség.

  • Time Series Z-score modell: A Z-pontszámú idősorozat-modellek a szabványos Z-pontszám modell egy változata, amely az idősoradatok rendellenességeinek észlelésére lett tervezve. Az idősoradatok olyan adatpontok sorozatai, amelyeket rendszeres időközönként gyűjtenek össze, például a leállási hibák újraindításának összesítése. A szórás és a középérték kiszámítása egy csúszó időablakra történik összesített metrikák használatával. Ez a módszer lehetővé teszi, hogy a modell érzékeny legyen az adatok időbeli mintáira, és alkalmazkodjon az eloszlás időbeli változásaihoz.

Következő lépések

További információt a következő témakörben talál: