# Modell hinzufügen Klicke auf **Model hinzufügen** in der rechten oberen Ecke der [Modell-Übersicht](/docs/manual/bedienung-der-plattform/siem/tracer/modelle.md#modell-ubersicht), um ein neues Modell für eine KI-basierte Zeitreihenanalyse eines Streams zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Tracer** → **Modelle** → **Hinzufügen**.

Klicke auf **Model hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um das neue KI-Modell zu erstellen. Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Model hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Grundeinstellungen

Folgende Optionen stehen hier zur Verfügung:

Option	Beschreibung
Name	Gib dem Modell einen aussagekräftigen Namen. Wir empfehlen, das Modell nach dem Stream und/oder der Metrik zu benennen, die KI-basiert im Zeitreihenverlauf überwacht und analysiert werden soll.
Beschreibung	Beschreibe das Modell genauer. Dieses Feld ist optional.
Stream	Lege den Stream fest, der im Zeitreihenverlauf überwacht und analysiert werden soll. Der standardmäßig ausgewählte Stream ist Alle Events. Klicke dazu auf das Erweitern-Symbol im Feld Stream, um einen bereits existierenden, verwalteten oder benutzerdefinierten Stream auszuwählen.

Option

Beschreibung

Name

Gib dem Modell einen aussagekräftigen Namen.

Wir empfehlen, das Modell nach dem Stream und/oder der Metrik zu benennen, die KI-basiert im Zeitreihenverlauf überwacht und analysiert werden soll.

Beschreibung

Beschreibe das Modell genauer.

Dieses Feld ist optional.

Stream

Lege den Stream fest, der im Zeitreihenverlauf überwacht und analysiert werden soll.

Der standardmäßig ausgewählte Stream ist Alle Events.

Klicke dazu auf das Erweitern-Symbol im Feld Stream, um einen bereits existierenden, verwalteten oder benutzerdefinierten Stream auszuwählen.

### Stream auswählen Klicke auf das **Erweitern**-Symbol im Feld **Stream**, um einen bereits existierenden, verwalteten oder benutzerdefinierten Stream auszuwählen. Es öffnet sich ein neues Fenster **Event-Stream** mit den Tabs [Verwaltete Event-Streams](#tab-1-verwaltete-event-streams) und [Deine Event-Streams](#tab-2-deine-event-streams). Klicke auf einen Tab, um in die entsprechende Ansicht zu wechseln. Nutze die Freitextsuche über das Feld **Suchen**, um Streams in der jeweiligen Liste schneller zu finden.

#### Tab 1: Verwaltete Event-Streams Unter dem Tab **Verwaltete Event-Streams** findest du von Enginsight bereitgestellte Streams. Diese sind nach Log-Quellen gruppiert. Klicke auf das **Aufklappen**-Symbol rechts neben einer Stream-Gruppe, um eine Liste aller zugehörigen Streams auszuklappen. Klicke auf das **Einklappen**-Symbol um diese wieder einzuklappen.

Klicke auf einen Stream aus der Liste, um diesen auszuwählen und dem Workflow hinzuzufügen. #### Tab 2: Deine Event-Streams Unter dem Tab **Deine Event-Streams** findest du deine benutzerdefinierten Streams. Dies können Streams sein, die du unter SIEM → [Streams](/docs/manual/bedienung-der-plattform/siem/streams.md) hinzugefügt hast, oder Streams, die du aus der Data-Lake-Ansicht heraus [gespeichert hast](#stream-speichern). {% hint style="info" %} Wenn du noch keine eigenen Streams angelegt hast, ist diese Ansicht leer. {% endhint %} Klicke auf einen Stream aus der Liste, um diesen auszuwählen und dem Workflow hinzuzufügen. Klicke auf das **Löschen**-Symbol rechts neben einem Stream-Namen, um diesen zu löschen. {% hint style="danger" %} **Bitte beachte**: Gelöschte Streams sind unwiederbringlich verloren! {% endhint %} ### Feld hinzufügen Klicke auf **Feld hinzufügen**, um optional ein konkretes Feld im Stream zu definieren, das mit dem Modell überwacht und analysiert werden soll.

Es öffnen sich weitere Eingabefelder, in denen folgende Optionen zur Verfügung stehen:

Option	Beschreibung
Aggregator	Lege fest, wie die für die Metrik gemessenen Werte im Zeitreihenverlauf aggregiert und angezeigt werden sollen. Je nach Datentyp der gewählten Metrik sind nicht alle Aggregatoren sinnvoll oder verfügbar. Numerische Felder eignen sich z. B. für Durchschnitts- oder Summenberechnungen, während Textfelder meist nur für Minimal- und Maximalwerte genutzt werden können. Klicke in das Feld Aggregator, um eine Liste aller verfügbaren Optionen auszuklappen. Folgende Optionen stehen zur Verfügung: Durchschnitt: Es wird der Durchschnittswert pro Messung angezeigt. Minimum: Es wird der Minimalwert pro Messung angezeigt. Maximum: Es wird der Maximalwert pro Messung angezeigt. Summe: Es wird die Summe aus allen gemessenen Werten angezeigt. Eindeutige Werte: Es werden nur unterschiedliche Messwerte angezeigt. Anzahl der Werte: Es werden alle vorhandenen Messwerte angezeigt.
Quellfeldname	Lege ein Quellfeld fest, für welches eingehende Werte aggregiert und angezeigt werden sollen. Klicke dazu in das Feld Quellfeldname, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden.

Option

Beschreibung

Aggregator

Lege fest, wie die für die Metrik gemessenen Werte im Zeitreihenverlauf aggregiert und angezeigt werden sollen.

Je nach Datentyp der gewählten Metrik sind nicht alle Aggregatoren sinnvoll oder verfügbar. Numerische Felder eignen sich z. B. für Durchschnitts- oder Summenberechnungen, während Textfelder meist nur für Minimal- und Maximalwerte genutzt werden können.

Klicke in das Feld Aggregator, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

Durchschnitt: Es wird der Durchschnittswert pro Messung angezeigt.
Minimum: Es wird der Minimalwert pro Messung angezeigt.
Maximum: Es wird der Maximalwert pro Messung angezeigt.
Summe: Es wird die Summe aus allen gemessenen Werten angezeigt.
Eindeutige Werte: Es werden nur unterschiedliche Messwerte angezeigt.
Anzahl der Werte: Es werden alle vorhandenen Messwerte angezeigt.

Quellfeldname

Lege ein Quellfeld fest, für welches eingehende Werte aggregiert und angezeigt werden sollen.

Klicke dazu in das Feld Quellfeldname, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden.

### Vorschau Unterhalb der Eingabefelder für die Grundeinstellungen wird dir ein Liniendiagramm als Vorschau der entsprechend gewählten Metrik im Zeitverlauf angezeigt.

Fahre mit dem Mauszeiger über die Linie im Diagramm, um den genauen Messwert zu einem bestimmten Zeitpunkt anzuzeigen. *** ## Erweiterte Einstellungen Klicke auf **Erweiterte Einstellungen** in der rechten oberen Ecke, um das KI-Modell zu aktivieren oder deaktivieren sowie weitere Einstellungen für die Anomalie-Erkennung festzulegen.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Aktiviert	Aktiviere die Berechnung von Normalwerten und möglichen Anomalien durch das KI-Modell. Setze dazu einen Haken in die Checkbox neben Aktiviert, um die Einstellung zu aktivieren. Entferne den Haken aus der Checkbox um sie zu deaktivieren. Diese Option ist standardmäßig aktiviert.
Zeitreihenverlauf: Bucket Size	Lege die Zeitspanne in Minuten fest, in der Messwerte innerhalb eines Zeitintervalls zu einem Datenpunkt zusammengefasst werden. Die standardmäßig angegebene Zeitspanne beträgt 5 Minuten.
Zeitreihenverlauf: Schwellwert zur Anomalieerkennung	Lege fest, ab wieviel Prozent Abweichung vom Normalwert innerhalb eines Zeitintervalls eine Abweichung als Anomalie gilt. Wird dieser Schwellenwert über- oder unterschritten, löst das KI-Modell nach einer benutzerdefinierten Wartezeit eine Aktion aus. Der standardmäßig angegebene Schwellenwert beträgt 85%.
Zeitreihenverlauf: Karenzverzögerung	Lege die Zeitspanne in Minuten fest, die das KI-Modell wartet, bis es eine Aktion auslöst, um Fehlalarme zu vermeiden. Die standardmäßig angegebene Wartezeit beträgt 5 Minuten.
Zeitreihenschwankung: Bucket Size	Lege die Zeitspanne in Minuten fest, in der Messwerte innerhalb eines Zeitintervalls zu einem Datenpunkt zusammengefasst werden, um die Schwankung zu berechnen. Die standardmäßig angegebene Zeitspanne beträgt 5 Minuten.
Zeitreihenschwankung: Schwellwert zur Anomalieerkennung	Lege fest, ab wieviel Prozent Abweichung vom Normalwert innerhalb eines Zeitintervalls eine Abweichung als Anomalie gilt. Wird dieser Schwellenwert über- oder unterschritten, löst das KI-Modell eine Aktion aus. Der standardmäßig angegebene Schwellenwert beträgt 85%.
Zeitreihenverlauf: Karenzverzögerung	Lege die Zeitspanne in Minuten fest, die das KI-Modell wartet, bis es eine Aktion auslöst, um Fehlalarme zu vermeiden. Die standardmäßig angegebene Wartezeit beträgt 5 Minuten.

Klicke auf **Übernehmen**, nachdem du alle Einstellungen vorgenommen hast, um die Anpassungen zu speichern. Klicke auf **Schließen**, um die Erweiterten Einstellungen ohne speichern zu verlassen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Übernehmen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/tracer/modelle/modell-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.