パイプライン集計 - 推論バケット（Inference bucket） - 《Elasticsearchガイドv8.15》日本語

推論バケット集約
構文
- Js
推論モデルの設定オプション
- 回帰モデルの設定オプション
- 分類モデルの設定オプション
例

推論バケット集約

親パイプライン集約で、事前にトレーニングされたモデルを読み込み、親バケット集約からの集約結果フィールドに対して推論を実行します。

推論バケット集約を使用するには、トレーニング済みモデルの取得 APIを使用するために必要なのと同じセキュリティ権限が必要です。

構文

inference 集約は、単独では次のようになります:

Js

{
  "inference": {
   "model_id": "a_model_for_inference",
   "inference_config": {
   "regression_config": {
   "num_top_feature_importance_values": 2
   }
   },
   "buckets_path": {
   "avg_cost": "avg_agg",
   "max_cost": "max_agg"
   }
  }
}


	トレーニング済みモデルの一意の識別子またはエイリアス。
	モデルのデフォルト設定を上書きするオプションの推論設定。
	`avg_agg` の値をモデルの入力フィールド `avg_cost` にマップします。

表 61. inference パラメータ

| パラメータ名 | 説明 | 必須 | デフォルト値 |
| :— | :— | :— | :— |
| model_id | トレーニング済みモデルのIDまたはエイリアス。 | 必須 | - |
| inference_config | 推論タイプとそのオプションを含みます。2つのタイプがあります: regression と classification | オプション | - |
| buckets_path | 入力集約へのパスを定義し、集約名をモデルが期待するフィールド名にマップします。

詳細については、buckets_path 構文を参照してください。 | 必須 | - |

推論モデルの設定オプション

inference_config 設定はオプションであり、通常は必要ありません。事前にトレーニングされたモデルは合理的なデフォルト設定が備わっています。集約の文脈では、2つのモデルタイプのそれぞれに対していくつかのオプションを上書きできます。

回帰モデルの設定オプション

num_top_feature_importance_values
(オプション、整数) 各ドキュメントごとの特徴重要度値の最大数を指定します。デフォルトはゼロで、特徴重要度の計算は行われません。

分類モデルの設定オプション

num_top_classes
(オプション、整数) 戻すトップクラス予測の数を指定します。デフォルトは0です。
num_top_feature_importance_values
(オプション、整数) 各ドキュメントごとの特徴重要度値の最大数を指定します。デフォルトは0で、特徴重要度の計算は行われません。
prediction_field_type
(オプション、文字列) 書き込む予測フィールドのタイプを指定します。有効な値は: string, number, boolean です。boolean が提供されると、1.0 は true に変換され、0.0 は false に変換されます。

例

次のスニペットは、client_ip によってウェブログを集約し、疑わしいクライアントIPを特定するためにトレーニングされたモデルで構成された推論集約への入力として、メトリックおよびバケットのサブ集約を介していくつかの特徴を抽出します:

Python

resp = client.search(
   index="kibana_sample_data_logs",
   size=0,
   aggs={
   "client_ip": {
   "composite": {
   "sources": [
   {
   "client_ip": {
   "terms": {
   "field": "clientip"
   }
   }
   }
   ]
   },
   "aggs": {
   "url_dc": {
   "cardinality": {
   "field": "url.keyword"
   }
   },
   "bytes_sum": {
   "sum": {
   "field": "bytes"
   }
   },
   "geo_src_dc": {
   "cardinality": {
   "field": "geo.src"
   }
   },
   "geo_dest_dc": {
   "cardinality": {
   "field": "geo.dest"
   }
   },
   "responses_total": {
   "value_count": {
   "field": "timestamp"
   }
   },
   "success": {
   "filter": {
   "term": {
   "response": "200"
   }
   }
   },
   "error404": {
   "filter": {
   "term": {
   "response": "404"
   }
   }
   },
   "error503": {
   "filter": {
   "term": {
   "response": "503"
   }
   }
   },
   "malicious_client_ip": {
   "inference": {
   "model_id": "malicious_clients_model",
   "buckets_path": {
   "response_count": "responses_total",
   "url_dc": "url_dc",
   "bytes_sum": "bytes_sum",
   "geo_src_dc": "geo_src_dc",
   "geo_dest_dc": "geo_dest_dc",
   "success": "success._count",
   "error404": "error404._count",
   "error503": "error503._count"
   }
   }
   }
   }
   }
   },
)
print(resp)

Ruby

response = client.search(
  index: 'kibana_sample_data_logs',
  body: {
   size: 0,
   aggregations: {
   client_ip: {
   composite: {
   sources: [
   {
   client_ip: {
   terms: {
   field: 'clientip'
   }
   }
   }
   ]
   },
   aggregations: {
   url_dc: {
   cardinality: {
   field: 'url.keyword'
   }
   },
   bytes_sum: {
   sum: {
   field: 'bytes'
   }
   },
   geo_src_dc: {
   cardinality: {
   field: 'geo.src'
   }
   },
   geo_dest_dc: {
   cardinality: {
   field: 'geo.dest'
   }
   },
   responses_total: {
   value_count: {
   field: 'timestamp'
   }
   },
   success: {
   filter: {
   term: {
   response: '200'
   }
   }
   },
   "error404": {
   filter: {
   term: {
   response: '404'
   }
   }
   },
   "error503": {
   filter: {
   term: {
   response: '503'
   }
   }
   },
   malicious_client_ip: {
   inference: {
   model_id: 'malicious_clients_model',
   buckets_path: {
   response_count: 'responses_total',
   url_dc: 'url_dc',
   bytes_sum: 'bytes_sum',
   geo_src_dc: 'geo_src_dc',
   geo_dest_dc: 'geo_dest_dc',
   success: 'success._count',
   "error404": 'error404._count',
   "error503": 'error503._count'
   }
   }
   }
   }
   }
   }
  }
)
puts response

Js

const response = await client.search({
  index: "kibana_sample_data_logs",
  size: 0,
  aggs: {
   client_ip: {
   composite: {
   sources: [
   {
   client_ip: {
   terms: {
   field: "clientip",
   },
   },
   },
   ],
   },
   aggs: {
   url_dc: {
   cardinality: {
   field: "url.keyword",
   },
   },
   bytes_sum: {
   sum: {
   field: "bytes",
   },
   },
   geo_src_dc: {
   cardinality: {
   field: "geo.src",
   },
   },
   geo_dest_dc: {
   cardinality: {
   field: "geo.dest",
   },
   },
   responses_total: {
   value_count: {
   field: "timestamp",
   },
   },
   success: {
   filter: {
   term: {
   response: "200",
   },
   },
   },
   error404: {
   filter: {
   term: {
   response: "404",
   },
   },
   },
   error503: {
   filter: {
   term: {
   response: "503",
   },
   },
   },
   malicious_client_ip: {
   inference: {
   model_id: "malicious_clients_model",
   buckets_path: {
   response_count: "responses_total",
   url_dc: "url_dc",
   bytes_sum: "bytes_sum",
   geo_src_dc: "geo_src_dc",
   geo_dest_dc: "geo_dest_dc",
   success: "success._count",
   error404: "error404._count",
   error503: "error503._count",
   },
   },
   },
   },
   },
  },
});
console.log(response);

コンソール

GET kibana_sample_data_logs/_search
{
  "size": 0,
  "aggs": {
   "client_ip": {
   "composite": {
   "sources": [
   {
   "client_ip": {
   "terms": {
   "field": "clientip"
   }
   }
   }
   ]
   },
   "aggs": {
   "url_dc": {
   "cardinality": {
   "field": "url.keyword"
   }
   },
   "bytes_sum": {
   "sum": {
   "field": "bytes"
   }
   },
   "geo_src_dc": {
   "cardinality": {
   "field": "geo.src"
   }
   },
   "geo_dest_dc": {
   "cardinality": {
   "field": "geo.dest"
   }
   },
   "responses_total": {
   "value_count": {
   "field": "timestamp"
   }
   },
   "success": {
   "filter": {
   "term": {
   "response": "200"
   }
   }
   },
   "error404": {
   "filter": {
   "term": {
   "response": "404"
   }
   }
   },
   "error503": {
   "filter": {
   "term": {
   "response": "503"
   }
   }
   },
   "malicious_client_ip": {
   "inference": {
   "model_id": "malicious_clients_model",
   "buckets_path": {
   "response_count": "responses_total",
   "url_dc": "url_dc",
   "bytes_sum": "bytes_sum",
   "geo_src_dc": "geo_src_dc",
   "geo_dest_dc": "geo_dest_dc",
   "success": "success._count",
   "error404": "error404._count",
   "error503": "error503._count"
   }
   }
   }
   }
   }
  }
}


	`client_ip` によってデータを集約する複合バケット集約。
	一連のメトリックおよびバケットのサブ集約。
	トレーニング済みモデルを指定し、集約名をモデルの入力フィールドにマップする推論バケット集約。