Relatório de anomalias

O relatório de anomalias no Análise avançada ajuda os administradores de TI a identificar proativamente problemas de estado de funcionamento do dispositivo antes de afetarem os utilizadores. Monitoriza bloqueios de aplicações, falhas e Reinícios de Erros Fatais, fornecendo visibilidade para os problemas antes de chegarem aos canais de suporte.

A funcionalidade correlaciona os objetos de implementação e as alterações de configuração para acelerar a resolução de problemas e sugerir causas raiz. Os grupos de correlação de dispositivos revelam padrões entre os dispositivos afetados e sinalizam outros que estão em risco.

Antes de começar

Rever o relatório

1. No Microsoft Intune centro de administração, selecione Relatórios> Descrição Geralda Análise de pontos finais>.
2. Selecione o separador Anomalias , que fornece uma descrição geral das anomalias detetadas na sua organização.

• Utilize as capacidades de ordenação e filtragem para refinar a lista de anomalias.
• Para ver mais informações sobre uma anomalia específica, selecione-a na lista. Reveja os detalhes, como o nome da aplicação, os dispositivos afetados, quando o problema foi detetado pela primeira vez e o último, e quaisquer grupos de dispositivos que possam estar a contribuir para o problema.
• Selecione um grupo de correlação de dispositivos na lista para ver fatores comuns entre dispositivos. Os dispositivos estão correlacionados com atributos partilhados, como a versão da aplicação, a atualização do controlador, a versão do SO ou o modelo do dispositivo. Pode ver o número de dispositivos atualmente afetados e os que estão em risco. A taxa de prevalência mostra a percentagem de dispositivos afetados num grupo de correlação.
• Selecione Ver Dispositivos Afetados para apresentar uma lista de dispositivos com atributos chave. Filtre para ver dispositivos em grupos de correlação específicos ou mostrar todos os dispositivos afetados pela anomalia. O dispositivo linha do tempo também mostra eventos anómalos adicionais.

Rever dados de deteção de anomalias

Investigue grupos de correlação de dispositivos sinalizados com os relatórios de recursos e linha do tempo do dispositivo para determinar as causas. Os grupos de correlação de dispositivos ajudam a identificar as causas principais para anomalias de gravidade alta e média, bem como dispositivos em risco que podem ser afetados no futuro.

Práticas recomendadas:

• Reveja periodicamente as anomalias dashboard para compreender a linha de base atual e priorizar investigações e resoluções para novos problemas.
• Investigue novos problemas comunicados para identificar fatores comuns, como o hardware do dispositivo, conforme mostrado na análise avançada.
• Priorize anomalias para investigar com base na gravidade e no conhecimento interno, como a criticidade da aplicação.
• Utilize o relatório linha do tempo do dispositivo para marcar padrões, como reinícios de dispositivos ou atualizações associadas a anomalias.
• Trabalhe com equipas de TI para identificar outros fatores, como atualizações recentes de aplicações, que podem afetar anomalias.
• Veja as possíveis ações de remediação indicadas no relatório de anomalias (por exemplo, atualizações de controladores ou aplicações).
• Integre resoluções no suporte L1/L2 para manter as equipas cientes dos problemas conhecidos atuais. Considere trabalhar com a sua equipa do ITSM para registar anomalias conhecidas sob investigação.
• Teste as ações de remediação num subconjunto de dispositivos e monitorize os resultados antes de implementar em mais dispositivos. Após a remediação, implemente proativamente em dispositivos em risco.
• Reveja os relatórios de anomalias após grandes atualizações ou incidentes para marcar para obter novos problemas que precisem de investigação e resolução.
• Para compreender melhor os métodos de deteção, reveja os modelos estatísticos utilizados pela deteção de anomalias.

Modelos estatísticos para determinar anomalias

O modelo analítico deteta coortes de dispositivos que enfrentam conjuntos anómalos de Reinícios de Erros Fatais e bloqueios ou falhas da aplicação que precisam de atenção do administrador. Os padrões identificados pela telemetria do sensor e os registos de diagnóstico determinam estas coortes de dispositivos.

• Modelo heurístico baseado em limiares: este modelo define um ou mais valores de limiar para bloqueios de aplicações, falhas ou Reinícios de Erros Fatais. Os dispositivos são sinalizados como anómalos se ultrapassarem o limiar definido. O modelo é simples e eficaz para apresentar problemas proeminentes ou estáticos. Os limiares são atualmente pré-determinados e não personalizáveis.
• Modelo de t-tests emparelhado: os testes t emparelhados comparam pares de observações num conjunto de dados, procurando diferenças estatisticamente significativas entre os respetivos meios. Por exemplo, comparar Reinícios do Erro de Paragem no mesmo dispositivo antes e depois de uma alteração de política ou a aplicação falha após uma atualização do SO.
• Modelo de classificação Z da população: este modelo calcula o desvio padrão e a média de um conjunto de dados e, em seguida, utiliza esses valores para determinar quais os pontos de dados anómalos. A classificação Z para cada ponto de dados representa o número de desvios padrão da média. Os pontos de dados fora de um determinado intervalo são considerados anómalos. Este modelo é adequado para realçar dispositivos ou aplicações atípicos, mas requer que os conjuntos de dados grandes sejam precisos.
• Modelo de classificação Z da série temporal: esta variação do modelo de classificação Z foi concebida para detetar anomalias em dados de série temporal — sequências de pontos de dados recolhidos em intervalos regulares, como Reinícios de Erros Fatais ao longo do tempo. Standard desvio e média são calculados para uma janela deslizante, permitindo que o modelo se adapte a padrões temporais e alterações na distribuição de dados.