异常情况报告

高级分析中的异常报告可帮助 IT 管理员在设备运行状况问题影响用户之前主动识别设备运行状况问题。 它监视应用程序挂起、崩溃和停止错误重启，从而在问题到达支持通道之前提供可见性。

此功能将部署对象和配置更改关联起来，以加快故障排除速度并建议根本原因。 设备相关组显示受影响设备之间的模式，并标记有风险的其他设备。

开始之前

查看报告

1. 在Microsoft Intune管理中心，选择“报表>终结点分析>概述”。
2. 选择“ 异常 ”选项卡，该选项卡提供组织中检测到的异常的概述。

• 使用排序和筛选功能优化异常列表。
• 若要查看有关特定异常的详细信息，请从列表中选择它。 查看详细信息，例如应用名称、受影响的设备、首次检测到问题的时间和上次出现问题的时间，以及可能导致问题的任何设备组。
• 从列表中选择设备相关组，查看设备之间的常见因素。 设备通过共享属性（例如应用版本、驱动程序更新、OS 版本或设备模型）相关联。 可以查看当前受影响的设备数和有风险的设备数。 患病率显示相关组中受影响设备的百分比。
• 选择“ 查看受影响的设备” 以显示具有关键属性的设备列表。 筛选以查看特定相关组中的设备或显示受异常影响的所有设备。 设备时间线还会显示其他异常事件。

查看异常情况检测数据

使用设备时间线和资源报告调查已标记的设备相关组，以确定根本原因。 设备相关组有助于确定高严重性异常和中等严重性异常的根本原因，以及将来可能受到影响的风险设备。

最佳实践：

• 定期查看异常仪表板以了解当前基线，并确定新问题的调查和解决方法的优先级。
• 调查新报告的问题，以确定常见因素，如设备硬件，如高级分析中所示。
• 根据严重性和内部知识（例如应用程序严重性）确定异常的优先级以进行调查。
• 使用设备时间线报告来检查模式，例如设备重启或与异常相关的更新。
• 与 IT 团队协作，确定可能影响异常的其他因素，例如最近的应用程序更新。
• 查看异常报告中记录的可能修正作， (例如驱动程序或应用程序更新) 。
• 将解决方案集成到 L1/L2 支持中，使团队了解当前已知问题。 请考虑与 ITSM 团队合作，记录调查中的已知异常。
• 在向更多设备推出之前，对一部分设备测试修正作并监视结果。 修正后，主动向有风险的设备推出。
• 查看重大更新或事件后的异常报告，以检查需要调查和解决的新问题。
• 若要更好地了解检测方法，请查看异常情况检测使用的 统计模型 。

用于确定异常的统计模型

分析模型检测设备队列，这些设备队列面临异常的停止错误重启集，以及需要管理员注意的应用程序挂起或崩溃。 从传感器遥测和诊断日志中标识的模式决定了这些设备队列。

• 基于阈值的启发式模型：此模型为应用程序挂起、崩溃或停止错误重启设置一个或多个阈值。 如果设备违反设置的阈值，则会将其标记为异常。 该模型对于显示突出问题或静态问题简单有效。 阈值当前是预先确定的，不可自定义。
• 配对 t 测试模型：配对 t 测试比较数据集中的观测值对，查找其方法之间的统计显著差异。 例如，比较策略更改前后在同一设备上停止错误重启数，或者在 OS 更新后应用崩溃。
• 总体 Z 评分模型：此模型计算数据集的标准偏差和平均值，然后使用这些值来确定哪些数据点是异常的。 每个数据点的 Z 分数表示与平均值的标准偏差数。 超出特定范围的数据点被视为异常数据点。 此模型非常适合突出显示离群值设备或应用，但需要大型数据集才能准确。
• 时序 Z 评分模型：Z 评分模型的这种变体旨在检测时序数据中的异常情况，即定期收集的数据点序列，例如随时间推移的停止错误重启。 Standard偏差和平均值是为滑动窗口计算的，使模型能够适应时态模式和数据分布的变化。