智慧医院智能运维实训指导书-实训指南05：日志数据智能分析

一、实训目的

1. 了解智能运维领域的机器学习应用；
2. 掌握使用机器学习实现Linux日志量预测；
3. 掌握使用observability实现基础架构可观测性。

二、实训学时

8 学时

三、实训类型

研究性

四、实训需求

1、硬件

每人配备计算机 1 台。

2、软件

安装Edge、Firefox、Chrome等最新版本浏览器，安装Mobaxterm软件。

3、网络

本地主机能够访问教学云计算平台，虚拟机按照配置指南配置网络。

4、工具

无。

五、实训任务

1、完成基于Kibana样例数据进行机器学习；

2、完成基于Kibana机器学习进行Linux日志量预测；

3、完成基于Kibana observability实现主机可观测性。

六、实训环境

本实训使用《实训指南01：部署Elastic Stack》和《实训指南02：实现Linux Syslog日志分析》中创建的虚拟机Labs-ELK-VM-101、Labs-ELK-VM-102。

七、实训内容及步骤

1、通过Sample web logs样例数据了解机器学习

Elasticsearch机器学习是一种利用机器学习技术对Elasticsearch数据进行智能检测和预测的工具，可以自动识别数据模式和数据异常，生成新的特征和聚合结果，为数据分析和应用提供支持。Elasticsearch机器学习可以提高数据的可用性和价值，还可以为用户提供更加智能和高效的数据分析和应用解决方案。

Elasticsearch机器学习分为无监督机器学习（Unsupervised）和监督机器学习（Supervised）两类：

• 无监督机器学习：包括Single metric和Populartion等场景，对数据进行异常检测。该模式不需要训练机器学习什么是异常，机器学习算法将自动检测数据中的异常或异常模式。
• 监督机器学习：包括Regression和Classification等场景，使用分类和回归算法解决非常复杂的问题。该模式需要一定的数据训练预测任务，然后使用训练出来的任务来对未来的数据进行分类、预测。

场景大类	场景	类别	说明
异常检测Anomaly Detection	单一指标检测Single metric	unsupervised	检测单个时序中的异常，数据分析仅在一个索引字段上执行。
多指标检测Mutil metric	unsupervised	使用一个或多个指标检测异常，并根据需要拆分分析，数据分析在多个索引字段上执行。
填充Populartion	unsupervised	通过与Population中的行为进行比较，检测不寻常的行为。Population是指某一研究领域内所有可能被研究的个体、事物或现象的总体。
高级用法和功能Advanced	unsupervised	提供了更多的选项和设置，以便用户可以更好地定制和优化机器学习任务，以适应不同的应用场景和数据类型，用于更高级用例的机器学习。
归类Categorization	unsupervised	识别和分析日志消息中的特征和模式，将日志消息分为不同的组别，并检测其中的异常情况。
数据分析Data Frame Analytics	离群值检测Outlier detection	unsupervised	用聚类分析和异常检测算法训练任务，用于快速检测数据中的异常点或异常行为。
回归Regression	supervised	回归预测数据集中的数值。
分类Classification	supervised	分类预测数据集中数据点的类别。

1.1 添加样例数据

（1）使用浏览器访问Kibana地址http://10.10.2.101:5601，输入用户和密码（用户名：elastic，密码：Labs#ELK@2025）登录Kibana，如图5-1所示。

（2）进入Kibana系统界面中，在 “ Get started by adding integrations ” 区域单击 “ Try sample data ” 进入试用样例数据界面，如图5-2所示。

（3）在样例数据页面，单击“Other sample data sets”选择其他样例数据集，单击“Sample web logs”数据集下的“Add data”添加数据，如图5-3所示。

（4）等待“Add data”添加数据变为“View data”查看数据时，表示该数据集已添加完成。添加样例数据后，Kibana会自动创建kibana_sample_data_logs索引，如图5-4所示。

📌

Kibana内置了三个示例数据集：电子商务订单数据集、航班数据数据集和Web日志数据集，可以帮助用户快速实践数据分析和可视化等。

• Sample eCommerce orders： 该数据集模拟了在线零售商的交易数据，包含订单、客户、产品等详细信息。数据结构包括订单ID、客户ID、姓名、性别、订单金额、产品类别、地理位置等字段，支持销售额趋势分析、商品类别占比、客户购买行为等可视化场景。
• Sample flight data： 该数据集记录全球航班信息，涵盖四家航空公司，包含航班号、出发地、目的地、平均票价、延误状态、天气及地理位置坐标等字段。用户可分析航班延误原因、票价分布，或通过地图可视化航班路线，交互式过滤特定城市对的航班数据。
• Sample web logs： 模拟网站访问日志，记录客户端IP、请求路径、HTTP状态码、响应字节量、时间戳等信息。支持分析网站流量来源、用户行为模式及异常访问检测，例如可视化高频访问路径或过滤特定IP的访问记录。

1.2 创建机器学习任务

本任务通过单指标检测构建一个无监督机器学习任务，使用Kibana自带的样例数据Sample web logs，该数据集为访问Web服务器的模拟数据，通过分析样例数据了解用户的访问行为、优化网站性能和检测异常访问等。

（1）在Kibana的系统页面，单击左上角的三条横线，导航到左侧菜单，下滑选择“Analytics（分析）”选项卡中的“Machine Learning（机器学习）”选项，如图5-5所示。

（2）在Machine Learning导航菜单中，选择“Anomaly Detection（异常检测）”选项卡中“Jobs（作业）”选项，如图5-6所示。

（3）在Anomaly Detection Jobs（异常检测作业）页面，单击“Create anomaly detection job（创建异常检测作业）”，如图5-7所示。

（4）在Select data view or saved Discover session（选择数据视图或保存的发现会话）页面搜索框中输入“Kibana Sample Data Logs ”，选择数据视图Kibana Sample Data Logs，进入从数据视图 Kibana Sample Data Logs 创建作业的向导区域，如图5-8所示。

（5）在创建作业的向导页面，选择“Single metric（单一指标）”进入Create job: Single metric（创建作业: 单一指标）向导页面，如图5-9所示。

（7）在创建作业: 单一指标向导页面，Time range（时间范围）单击“Use full data”使用全数据，单击【Next】，如图5-10所示。

（8）在创建作业: 单一指标向导页面，Choose fields（选择字段）选取字段“Count(Event rate)”，单击【Estimate bucket span】估计并配置存储桶跨度，“Sparse data”使用默认配置，单击【Next】，如图5-11所示。

📌

1、异常检测指标：

• Count(Event rate)： 统计指定时间段（桶跨度，Bucket span）内发生的总事件数量，不区分事件高低频特性。这是事件速率分析的基础函数，用于建立数据行为的基准模型。
• High count(Event rate)： 检测事件数量显著高于历史正常水平的异常点。系统通过机器学习模型计算预期值的置信区间，超出上限即标记为高频异常。
• Low count(Event rate)： 检测事件数量显著低于预期的异常点，适用于识别服务中断或功能失效场景。与High count类似，但关注置信区间下限的突破。

2、Sparse data（稀疏数据）： 指文档中某些字段存在大量缺失值或零值的数据特性。这种特性源于数据结构的不均匀性，会对机器学习模型的训练效果和系统性能产生显著影响。

3、稀疏数据对机器学习的影响

• 模型训练偏差： 大量缺失值会导致模型难以捕捉字段的真实分布，降低对稀有事件的预测准确性（如罕见故障检测）。
• 计算资源浪费： 机器学习算法需处理大量无效零值，增加内存和 CPU 开销，拖慢训练速度。
• 存储效率低下： Lucene 底层会为缺失字段保留 norm 值（每个文档占用 1 字节），导致存储空间浪费。

（9）在创建作业: 单一指标向导页面，Job details（作业详情）配置Job ID为“web_analysis”，单击【Next】，如图5-12所示。

（10）在创建作业: 单一指标向导页面，作业详情配置完成后自动进行时间范围和任务内存限制的验证，验证通过，单击【Next】，如图5-13所示。

（11）在创建作业: 单一指标向导页面，检测作业的所有配置信息，检查确认无误，单击【Create job】创建作业，Elasticsearch按照时序播放这些数据，并对数据进行分析学习建立任务，同时对后面的数据进行评估。如图5-14所示。

（12）等待作业创建完成，在页面左下角单击“View results”查看结果，如图5-15所示。

（13）在Single Metric Viewer页面，单击Single time series analysis of count（count 的单时间序列分析）右侧的图标，查看单时间序列分析说明，如图5-16所示。

📌

Single time series analysis of count：

该图表展示了特定检测器随时间变化产生的实际数据值。 可以通过滑动时间选择器并调整其长度来检查事件。为获得最精确的视图，可将缩放级别设置为自动。

1、异常检测：

• 系统会为每个分桶时间间隔计算一个异常分数，其值范围从 0 到 100。
• 异常事件会以颜色高亮显示，颜色代表其严重程度。
• 如果某个异常事件以叉号（×） 而非圆点（•） 表示，则表明该异常具有中度、显著或高度的多时段影响。这项额外分析能够捕获那些即使落在预期行为边界内但仍属异常的事件 。

2、预测功能：

• 当创建预测时，预测数据值会被添加到图表中。
• 预测值周围会显示一个阴影区域，代表置信水平。
• 随着预测时间向未来延伸，置信水平通常会逐渐降低 。

3、标注功能：

• 可以通过在图表中拖拽选择一段时间范围并添加描述来可选地标注任务结果。
• 一些标注是系统自动生成的，用于标示值得注意的事件 。

4、模型边界（可选）：

• 如果启用了模型图 (Model Plot) ，可以可选地显示模型边界。
• 模型边界在图表中同样以阴影区域表示。
• 随着任务分析更多数据，它会不断学习，从而能够更精准地预测预期的行为模式，模型边界也会随之调整得更加紧密 。

（14）在Single Metric Viewer页面，用鼠标左键拖动时间控制条的左右边缘或移动时间控制条，选择需要进行异常检测的时间段，在页面右侧单击“Forecast”对未来进行预测，Duration（持续时间）设置为7天，单击【Run】开始运行预测，如图5-17所示。

（15）等待预测完成，查看单时间序列分析数据，如图5-18所示。

（16）在Single Metric Viewer页面，可以查看到在 2025年8月23日18:00 时刻标记的黄色点是一个由机器学习模型检测出的异常点，如图5-19所示，

该异常点的详细分析如下：

1）核心结论： 该异常点表示在 2025年8月23日18:00 这一时刻，网站访问流量（请求数量）出现了异常且显著的激增，实际流量远超机器学习模型预期的正常水平。

2）关键数据解读

数据项	数值	解读与分析
检测函数（Function）	count	机器学习模型监控的指标是事件计数（Event rate） ，即单位时间内的网络请求数量。
实际值（Actual）	21	在2025-08-23 18:00:00至18:30:00这个半小时区间内，系统实际记录到的请求数量为 21。
典型值（Typical）	12.2	机器学习模型基于历史规律，预测在该时间段的正常请求量应为 12.2。
描述（Description）	Minor anomaly in count``2x higher	系统自动生成的描述为“计数出现轻微异常”，并明确指出实际值比典型值高出一倍左右。这是一个非常直观的量化关系。
异常分数（Score）	39	异常的严重程度得分为39（满分100），属于警告（Warning） 级别（对应黄色标识）。
概率（Probability）	0.00532	这是最关键的统计证据。该事件（计数为21）在模型预期的正态分布下发生的概率仅为 0.532% 。这意味着这是一个极端罕见事件，在统计上几乎不可能自然发生，因此被模型果断标记为异常。

3）重要附加信息解读

Single bucket impact （单时段影响）： 表明该异常的影响主要集中在2025-08-23 18:00至18:30这单个时间桶内，是一个相对孤立和突发的事件，而非一个持续数小时的长期趋势变化的开始。

High variance interval: Yes （高波动区间：是）： 是一个非常关键的信息。它说明模型本身就知道在这个特定时间段，历史数据本身就表现出较大的波动性。然而，即使在这个“本来就容易波动”的时间里，21 这个值仍然远远超出了模型认为的合理波动范围，因此依然被判定为异常。

2、通过机器学习实现Linux日志量预测

本任务基于《实训指南02：实现Linux Syslog日志分析》采集的Linux Syslog日志数据创建的数据视图“labs-elk-linux”作为本次机器学习的真实数据，进行Linux服务器日志量智能预测。

（1）在Kibana的系统页面，单击左上角的三条横线，导航到左侧菜单，下滑选择“Analytics（分析）”选项卡中的“Machine Learning（机器学习）”选项，如图5-20所示。

（2）在Machine Learning导航菜单中，选择“Anomaly Detection（异常检测）”选项卡中“Jobs（作业）”选项，如图5-21所示。

（3）在Anomaly Detection Jobs（异常检测作业）页面，单击“Create job（创建作业）”，如图5-22所示。

（4）在Select data view or saved Discover session（选择数据视图或保存的发现会话）页面搜索框中输入“labs-elk-linux”，选择数据视图labs-elk-linux，进入从数据视图 labs-elk-linux 创建作业的向导区域，如图5-23所示。

（5）在创建作业的向导页面，选择“Single metric（单一指标）”进入Create job: Single metric（创建作业: 单一指标）向导页面，如图5-23所示。

（7）在创建作业: 单一指标向导页面，Time range（时间范围）单击“Use full data”使用全数据，单击【Next】，如图5-24所示。

（8）在创建作业: 单一指标向导页面，Choose fields（选择字段）选取字段“Count(Event rate)”，单击【Estimate bucket span】估计并配置存储桶跨度，“Sparse data”使用默认配置，单击【Next】，如图5-25所示。

（9）在创建作业: 单一指标向导页面，Job details（作业详情）配置Job ID为“linux_analysis”，单击【Next】，如图5-26所示。

（10）在创建作业: 单一指标向导页面，作业详情配置完成后自动进行时间范围和任务内存限制的验证，验证通过，单击【Next】，如图5-27所示。

（11）在创建作业: 单一指标向导页面，检测作业的所有配置信息，检查确认无误，单击【Create job】创建作业，Elasticsearch按照时序播放这些数据，并对数据进行分析学习建立任务，同时对后面的数据进行评估。如图5-28所示。

（12）等待作业创建完成，在页面左下角单击“View results”查看结果，如图5-29所示。

（13）在Single Metric Viewer页面，用鼠标左键拖动时间控制条的左右边缘或移动时间控制条，选择需要进行异常检测的时间段，在页面右侧单击“Forecast”对未来进行预测，Duration（持续时间）设置为3天，单击【Run】开始运行预测，如图5-30所示。

（14）等待预测完成，查看单时间序列分析数据，如图5-31所示。

3、使用observability实现基础架构可观测性

本任务基于Kibana可观测性功能，通过一键安装Elastic Agent实现对本实训课程所使用的2台Linux主机（实训指南01和实训指南02中创建的主机Labs-ELK-VM-101和Labs-ELK-VM-102）的快速监控，监控主机及其上运行的服务、设置 SLO、获取警报、修复性能问题等。

3.1 实现主机Labs-ELK-VM-101的可观测性

（1）在Kibana的系统页面，单击左上角的三条横线，导航到左侧菜单，下滑选择“Observability（可观测性）”选项卡中的“Infrastructure（基础设施）”选项，如图5-32所示。

（2）在observability可观测性欢迎页面，单击【Add metrics data】添加指标数据，如图5-33所示。

（3）在添加可观测性数据页面，选择监控类型为“Host”，监控方式使用“Elastic Agent: Logs & Metrics”，单击【Elastic Agent: Logs & Metrics】进入安装Elastic Agent向导中，如图5-34所示。

（4）在安装Elastic Agent向导中，单击【Copy to clipboard】复制安装命令到剪切板，如图5-35所示。

（5）在本地Windows启动SSH远程连接工具MobaXterm，远程连接主机Labs-ELK-VM-101，执行Elastic Agent一键安装命令，等待安装完成，参考命令如下。

[root@Labs-ELK-VM-101 ~]# curl http://0.0.0.0:5601/03b282993fde/plugins/observabilityOnboarding/assets/auto_detect.sh -so auto_detect.sh && sudo bash auto_detect.sh --id=fe2ecedb-8e72-4376-b9e2-ba13d4fba67d --kibana-url=http://0.0.0.0:5601 --install-key=TEVyUDZwZ0Jzdk0xUmEycWotbGs6UjhTSnJUejZrMnZTUzBRdlJwMHZUUQ== --ingest-key=S2tyUDZwZ0Jzdk0xUmEycWotbGo6bl9BN1NyX3NNcms5NUZXTmJkYVNydw== --ea-version=9.0.5
Looking for log files...

lsof is required to detect custom log files. Looking for known integrations only.

We found these logs on your system:
1) System
2) Docker

? Continue installation with detected logs? [Y/n] (default: Yes):

Installing Elastic Agent...

✓ Integrations installed
✓ Elastic Agent downloaded to /root/elastic-agent-9.0.5-linux-x86_64.tar.gz
✓ Archive extracted
✓ Elastic Agent installed to /opt/Elastic/Agent
✓ Config files written to:
  /opt/Elastic/Agent/elastic-agent.yml
  /opt/Elastic/Agent/inputs.d/system.yml
  /opt/Elastic/Agent/inputs.d/docker.yml

Waiting for Elastic Agent status...

🎉 Elastic Agent is configured and running!

Next steps:

• Go back to Kibana and check for incoming data

• For information on other standalone integration setups, visit:
  https://www.elastic.co/guide/en/fleet/current/elastic-agent-configuration.html
[root@Labs-ELK-VM-101 ~]#

📌 本步骤需要下载大量资源，且受网络速率的影响，可能需要较长时间。

（5）安装完成，返回Kibana安装Elastic Agent向导页面，此时显示Elastic Agent安装已完成，等待数据到达，如图5-36所示。

（6）在主机Labs-ELK-VM-101上，修改Elastic Agent的配置文件/opt/Elastic/Agent/elastic-agent.yml配置Elastic Agent将数据输出到Elasticsearch，参考命令如下。

# 修改Elastic Agent的配置文件
[root@Labs-ELK-VM-101 ~]# vi /opt/Elastic/Agent/elastic-agent.yml
----------------------/opt/Elastic/Agent/elastic-agent.yml--------------------
# 修改配置文件内容如下：
outputs:
  default:
    type: elasticsearch
    hosts: ["https://labs-elk-es-node-1:9200"]
    username: "elastic"
    password: "Labs#ELK@2025"
    ssl:
      certificate_authorities: ["/data/docker/volumes/labs-elk-certs/_data/ca/ca.crt"]
----------------------/opt/Elastic/Agent/elastic-agent.yml--------------------

（7）在主机Labs-ELK-VM-101上，修改配置文件/etc/hosts配置本地host，参考命令如下。

[root@Labs-ELK-VM-101 ~]# vi /etc/hosts
----------------------/etc/hosts--------------------
# 在文件末尾添加如下内容：
10.10.2.101 labs-elk-es-node-1
----------------------/etc/hosts--------------------

（8）在主机Labs-ELK-VM-101上，重启elastic-agent服务使配置生效，参考命令如下。

[root@Labs-ELK-VM-101 ~]# systemctl restart elastic-agent

（9）重启完成，返回Kibana安装Elastic Agent向导页面，此时显示“Your data is ready to explore!”表明数据已到达，如图5-37所示。

（10）在安装Elastic Agent向导页面，单击【Explore metrics data】，依次查看System和Docker监控指标数据，如图5-38、5-39所示。

3.2 实现主机Labs-ELK-VM-102的可观测性

（1）在Kibana的系统页面，单击左上角的三条横线，导航到左侧菜单，下滑选择“Observability（可观测性）”选项卡中的“Infrastructure（基础设施）”选项，如图5-40所示。

（2）在observability可观测性页面，单击右上角【Add data】添加指标数据，如图5-41所示。

（3）在添加可观测性数据页面，选择监控类型为“Host”，监控方式使用“Elastic Agent: Logs & Metrics”，单击【Elastic Agent: Logs & Metrics】进入安装Elastic Agent向导中，如图5-42所示。

（4）在安装Elastic Agent向导中，单击【Copy to clipboard】复制安装命令到剪切板，如图5-43所示。

（5）在本地Windows启动SSH远程连接工具MobaXterm，远程连接主机Labs-ELK-VM-102，执行Elastic Agent一键安装命令，等待安装完成，参考命令如下。

# 特别注意：在其他主机上安装是需要将安装命令中的地址“0.0.0.0”替换为Kibana所在服务器的IP地址
# 在这里所复制命令中的地址“0.0.0.0”替换为“10.10.2.101，再执行安装命令
[root@Labs-ELK-VM-102 ~]# curl http://10.10.2.101:5601/03b282993fde/plugins/observabilityOnboarding/assets/auto_detect.sh -so auto_detect.sh && sudo bash auto_detect.sh --id=2e4bb8d9-44d2-48e5-923f-bf5b8d4ffe89 --kibana-url=http://10.10.2.101:5601 --install-key=RTB3MjdwZ0Jzdk0xUmEycVJVcWU6TEc4UWhrSjJuMHNHdEoza0ZOalc5UQ== --ingest-key=RVV3MjdwZ0Jzdk0xUmEycVJVcWQ6TFllWFBZai16RVBtYXEyMTJpT0thZw== --ea-version=9.0.5
Looking for log files...

lsof is required to detect custom log files. Looking for known integrations only.

We found these logs on your system:
1) System
2) Apache

? Continue installation with detected logs? [Y/n] (default: Yes):

Installing Elastic Agent...

✓ Integrations installed
✓ Elastic Agent downloaded to /root/elastic-agent-9.0.5-linux-x86_64.tar.gz
✓ Archive extracted
✓ Elastic Agent installed to /opt/Elastic/Agent
✓ Config files written to:
  /opt/Elastic/Agent/elastic-agent.yml
  /opt/Elastic/Agent/inputs.d/system.yml
  /opt/Elastic/Agent/inputs.d/apache.yml

Waiting for Elastic Agent status...

🎉 Elastic Agent is configured and running!

Next steps:

• Go back to Kibana and check for incoming data

• For information on other standalone integration setups, visit:
  https://www.elastic.co/guide/en/fleet/current/elastic-agent-configuration.html
[root@Labs-ELK-VM-102 ~]#

📌 本步骤需要下载大量资源，且受网络速率的影响，可能需要较长时间。

（5）安装完成，返回Kibana安装Elastic Agent向导页面，此时显示Elastic Agent安装已完成，等待数据到达，如图5-44所示。

（6）在主机Labs-ELK-VM-101上，使用scp命令将Elasticsearch集群CA证书复制到主机Labs-ELK-VM-102的/opt目录下，参考命令如下。

# 将Elasticsearch集群CA证书复制到主机Labs-ELK-VM-102
[root@Labs-ELK-VM-101 ~]# scp /data/docker/volumes/labs-elk-certs/_data/ca.zip root@10.10.2.102:/opt/

Authorized users only. All activities may be monitored and reported.
root@10.10.2.102's password:
ca.zip                                                                                                         100% 2540   178.4KB/s   00:00
[root@Labs-ELK-VM-101 ~]#

（7）在主机Labs-ELK-VM-102上，进入/opt目录，解压CA证书，并修改证书目录权限，参考命令如下。

# 进入/opt目录
[root@Labs-ELK-VM-102 ~]# cd /opt/

# 解压CA证书
[root@Labs-ELK-VM-102 opt]# unzip ca.zip
Archive:  ca.zip
   creating: ca/
  inflating: ca/ca.crt
  inflating: ca/ca.key

# 修改证书目录权限
[root@Labs-ELK-VM-102 opt]# chmod -R 777 ca

（8）在主机Labs-ELK-VM-102上，修改Elastic Agent的配置文件/opt/Elastic/Agent/elastic-agent.yml配置Elastic Agent将数据输出到Elasticsearch，参考命令如下。

# 修改Elastic Agent的配置文件
[root@Labs-ELK-VM-102 ~]# vi /opt/Elastic/Agent/elastic-agent.yml
----------------------/opt/Elastic/Agent/elastic-agent.yml--------------------
# 修改配置文件内容如下：
outputs:
  default:
    type: elasticsearch
    hosts: ["https://labs-elk-es-node-1:9200"]
    username: "elastic"
    password: "Labs#ELK@2025"
    ssl:
      certificate_authorities: ["/opt/ca/ca.crt"]
----------------------/opt/Elastic/Agent/elastic-agent.yml--------------------

（9）在主机Labs-ELK-VM-102上，修改配置文件/etc/hosts配置本地host，参考命令如下。

[root@Labs-ELK-VM-102 ~]# vi /etc/hosts
----------------------/etc/hosts--------------------
# 在文件末尾添加如下内容：
10.10.2.101 labs-elk-es-node-1
----------------------/etc/hosts--------------------

（10）在主机Labs-ELK-VM-102上，重启elastic-agent服务使配置生效，参考命令如下。

[root@Labs-ELK-VM-102 ~]# systemctl restart elastic-agent

（11）重启完成，返回Kibana安装Elastic Agent向导页面，此时显示“Your data is ready to explore!”表明数据已到达，如图5-45所示。

（12）在安装Elastic Agent向导页面，单击【Explore metrics data】，依次查看System和Apache HTTP Server监控指标和日志数据，如图5-46、5-47所示。

4、扩展阅读

（1）机器学习： 机器学习是人工智能的一个重要分支，旨在通过算法使计算机能够从数据中自动学习并进行预测或决策，而无需明确编程指令。其核心目标是通过分析数据中的模式和规律，构建适应新数据的模型。机器学习广泛应用于图像识别、自然语言处理、推荐系统、自动驾驶等领域。

机器学习主要分为以下几种类型：

• 监督学习：通过标注数据训练模型，学习输入与输出之间的映射关系，常用于分类和回归任务。
• 无监督学习：在无标注数据的情况下，发现数据中的模式或结构，如聚类和降维。
• 半监督学习：结合少量标注数据和大量未标注数据，提升模型性能。
• 强化学习：通过与环境交互，基于奖励信号优化策略，广泛用于机器人控制和游戏AI。

（2）时间序列分析： 时间序列分析是一种分析方法，用于分析和预测基于时间顺序的数据变化。这种数据类型通常包含时间戳和相应的数据值，例如温度、销售额、网络流量等。Elasticsearch是一个分布式搜索和分析引擎，它可以处理大量时间序列数据，并提供一系列时间序列分析功能。

（3）observability（可观测性）： 在IT运维领域，可观测性是指获知基础设施、编排平台和服务应用所有层面的必要信息，从而观察所有系统的各类行为是否存在异常。可观测性是通过对开发测试、IT运维、业务运营、安全合规等全业务运营流程，借助日志（Logs）、指标（Metrics）、链路（Traces）等机器数据进行关联分析，衡量、预防、发现、定位、解决业务问题，实现业务效能提升的一种能力。