detect-anomalies

Détecter les anomalies dans les jeux de données Axiom à l'aide d'une analyse statistique. À utiliser lors de la recherche de motifs inhabituels, de pics de volume, de valeurs aberrantes ou de nouveaux types d'erreurs dans…

npx skills add https://github.com/axiomhq/cli --skill detect-anomalies

Anomaly Detection

Detect anomalies in Axiom datasets by comparing recent patterns to historical baselines using statistical analysis.

Arguments

When invoked with a dataset name (e.g., /detect-anomalies logs), it's available as $ARGUMENTS.

Prerequisites

Statistical anomaly detection requires sufficient data:

  • Minimum data points: Z-score and standard deviation need ≥30 samples per bucket for statistical significance
  • Historical baseline: At least 24 hours of data for meaningful comparison (methods use 25h lookback)
  • Consistent ingestion: Gaps in data collection will skew baselines

If these aren't met, results may be misleading. Consider using simpler threshold-based alerting instead.

Schema Discovery

Always verify field names first:

axiom query "['<dataset>'] | getschema" --start-time -1h

Anomaly Detection Methods

1. Volume Anomaly Detection

Compare recent volume to baseline:

Calculate baseline (past 24h excluding last hour):

axiom query "['<dataset>']
| where _time between (ago(25h) .. ago(1h))
| summarize count() by bin(_time, 1h)
| summarize
    avg_hourly = avg(count_),
    stdev_hourly = stdev(count_)" --start-time -25h -f json

Check recent volume:

axiom query "['<dataset>']
| where _time >= ago(1h)
| summarize
    current_count = count(),
    current_hour = min(_time)" --start-time -1h -f json

Z-score calculation:

  • z_score = (current - avg) / stdev
  • |z_score| > 2 indicates anomaly

2. New Value Detection

Find values that appeared recently but weren't seen before:

axiom query "['<dataset>']
| where _time >= ago(1h)
| summarize by error_code
| join kind=leftanti (
    ['<dataset>']
    | where _time between (ago(25h) .. ago(1h))
    | summarize by error_code
  ) on error_code" --start-time -25h -f json

Replace error_code with any categorical field (service, endpoint, status).

3. Statistical Outliers

Find values outside normal distribution:

Calculate bounds:

axiom query "['<dataset>']
| where _time between (ago(25h) .. ago(1h))
| summarize
    avg_val = avg(duration),
    stdev_val = stdev(duration)
| extend
    lower_bound = avg_val - 3 * stdev_val,
    upper_bound = avg_val + 3 * stdev_val" --start-time -25h -f json

Find outliers:

axiom query "['<dataset>']
| where _time >= ago(1h)
| where duration < <lower_bound> or duration > <upper_bound>
| limit 100" --start-time -1h -f json

4. Rare Event Detection

Find infrequent occurrences:

axiom query "['<dataset>']
| where _time >= ago(1h)
| summarize count() by error_message
| where count_ == 1" --start-time -1h -f json

5. Error Rate Spike

Compare error rate to baseline:

axiom query "['<dataset>']
| where _time >= ago(6h)
| summarize
    total = count(),
    errors = countif(status >= 500)
  by bin(_time, 15m)
| extend error_rate = errors * 100.0 / total
| sort by _time asc" --start-time -6h -f json

6. Latency Degradation

Track percentile changes:

axiom query "['<dataset>']
| where _time >= ago(6h)
| summarize
    p50 = percentile(duration, 50),
    p95 = percentile(duration, 95),
    p99 = percentile(duration, 99)
  by bin(_time, 15m)
| sort by _time asc" --start-time -6h -f json

Anomaly Categories

TypeDetection MethodIndicates
Volume SpikeZ-score on countTraffic surge, attack, incident
Volume DropZ-score on countOutage, data collection issue
New ValuesLeft anti-joinNew errors, new services
Statistical Outlier3-sigma ruleExtreme performance issue
Rare EventsCount = 1Unusual conditions
Error SpikeError rate increaseService degradation
Latency SpikePercentile increasePerformance issue

Output Format

## Anomaly Report: <dataset>

### Summary
- Analysis period: <timeframe>
- Anomalies found: <count>

### Volume Anomalies
| Time | Count | Expected | Z-Score |
|------|-------|----------|---------|
| ... | ... | ... | ... |

### New Values
- Field: `error_code`
- New values: `TIMEOUT_ERROR`, `CONNECTION_REFUSED`

### Statistical Outliers
- Field: `duration`
- Outliers: <count> events above <threshold>

### Error Rate
- Baseline: X%
- Current: Y%
- Change: +Z%

### Recommendations
1. <Investigation action>
2. <Monitoring suggestion>

Investigation Priority

  1. Assess impact - Is this affecting users?
  2. Correlate timing - What changed when anomaly started?
  3. Check related systems - Shared dependencies?
  4. Verify data quality - Is it a real issue or data problem?

When NOT to Use

  • Insufficient data: Z-score needs ≥30 data points; new datasets lack meaningful baselines
  • Known thresholds: If you have specific SLOs (e.g., "p99 < 500ms"), use direct threshold queries
  • Real-time alerting: Use Axiom Monitors for continuous anomaly detection, not ad-hoc analysis
  • Single data point: Anomaly detection compares against distributions, not individual values

APL Reference

For query syntax, invoke the axiom-apl skill which provides anomaly detection patterns and function documentation.

Plus de skills de axiomhq

axiom-apl
axiomhq
Référence du langage de requête APL pour Axiom. Fournit les opérateurs, fonctions, motifs et utilisation en ligne de commande. Invoqué automatiquement par les compétences Axiom spécialisées lors de l'écriture ou…
official
explore-dataset
axiomhq
Explorer un jeu de données Axiom pour comprendre son schéma, ses champs, son volume et ses motifs. À utiliser lors de la découverte d’un nouveau jeu de données, de l’investigation de sa structure, ou…
official
find-traces
axiomhq
Analyser les traces distribuées OpenTelemetry provenant d'Axiom. Utiliser lors de l'investigation d'un ID de trace, de la recherche de traces par critères (erreurs, latence, service), ou du débogage…
official
gilfoyle
axiomhq
Agent SRE qui fait ce que vous ne pouvez pas. Interroge votre pile d'observabilité. Trouve les causes racines. Ne panique pas. Ne devine pas. Ne se soucie pas de vos sentiments. Utilisez…
official
axiom-sre
axiomhq
Expert SRE enquêteur pour incidents et débogage. Utilise une méthodologie basée sur des hypothèses et un triage systématique. Peut interroger Axiom observability lorsqu'il est disponible.…
official
building-dashboards
axiomhq
Conçoit et construit des tableaux de bord Axiom via l'API. Couvre les types de graphiques, les modèles de requêtes APL et metrics/MPL, les SmartFilters, la mise en page et les options de configuration. Utilisez lorsque…
official
controlling-costs
axiomhq
Analyse les modèles de requêtes Axiom pour trouver les données inutilisées, puis crée des tableaux de bord et des moniteurs pour optimiser les coûts. À utiliser lorsqu'on vous demande de réduire les coûts Axiom, de trouver des données inutilisées…
official
query-metrics
axiomhq
Exécute des requêtes de métriques sur Axiom MetricsDB via des scripts. Découvre les métriques, tags et valeurs de tags disponibles. Utilisez lorsque l'on vous demande d'interroger des métriques, d'explorer des métriques…
official