亲爱的 KQL 大师/专家,我一直在努力寻找最有效(优雅)的解决方案来实现我想要做的事情。我想听听社区的意见,谢谢。
情况:
- 目前我们有一个名为“进程执行频率异常”的异常检测规则,每小时运行一次,并产生大量误报
- 我们希望通过更改 series_decompose_anomalies 中的“阈值”值来调整分析规则。
- 我们想模拟运行各种不同设置的分析规则,看看它会产生多少事件。
问题/我尝试过的事情:
- 这个想法是模拟“好像”分析规则在 7 天前每小时运行一次。类似于“结果模拟”部分。
- 通过在 KQL 行的末尾添加 make-series 命令,我已经能够在 Workbooks 中为简单的分析规则创建模拟。但是,对于这个特定的异常检测规则,我无法重新创建它。很可能是因为数据是由内存中的 series_decompose_anomalies 函数产生的。
问题:
- 可行吗?
- 我是否错误地处理了这个问题?
- 是否最好更改设置,然后在接下来的 30 天内进行评估?
感谢您的想法和建议。