Configurar la lógica de correlación con las decisiones.

Con la lógica de correlación de la inteligencia aplicada, los problemas relacionados se agrupan para reducir las alertas redundantes y que distraen. Cuando ingresan a su sistema, son elegibles para nuestra lógica de correlación. Los problemas elegibles se evalúan en función del tiempo, el contexto de alerta y los datos de relación. Si hay varios problemas relacionados, nuestra lógica de correlación incorporará el incidente relacionado en un problema único y completo.

A esta lógica de correlación la llamamos decisions. Tenemos decisiones integradas, pero también puedes crear y personalizar las tuyas propias en la página de decisiones. Para encontrar la página de decisiones, vaya a one.newrelic.com > All capabilities > Alerts & AI > Decisions. Cuanto más configure sus decisiones para que se adapten mejor a sus necesidades, mejor podrá New Relic correlacionar su incidente, reducir el ruido y proporcionar un mayor contexto para los equipos de guardia.

one.newrelic.com > All capabilities > Applied intelligence > Incident intelligence > Decisions: Nuestra UI muestra cómo cada decisión se correlaciona con el incidente.

¿Qué es la correlación y cómo funciona?

Su incidente más reciente y activo está disponible para nuestra lógica de correlación. Por ejemplo, digamos que su sistema ha recibido dos alertas que indican que un monitor Sintético está fallando en Australia y Londres. Estos dos alerta habrán creado su propio incidente único. Esos incidentes generarán sus propios problemas únicos según la política de creación de incidentes existente de su equipo. La lógica de correlación de New Relic comparará esos incidentes entre sí para encontrar similitudes. En este caso, es el mismo monitor el que falla en varias ubicaciones, por lo que New Relic fusionará ambos incidentes en un solo problema que contenga cada evento relevante.

Cuando correlacionamos un evento, comparamos cada par de combinaciones entre sí y combinamos tantas como sea posible. Por ejemplo:

Nuestro algoritmo correlaciona el incidente A y B (llámelo "AB").
Nuestro algoritmo correlaciona el incidente B y C (llámelo "BC").
Debido a que B está presente en ambos problemas, el algoritmo correlaciona los tres incidentes en un solo problema.

Configurar la política de correlación

Para habilitar la correlación en problemas basados en alertas , deberá conectarse a la correlación para la política de alertas respectiva.

Marque la casilla Correlate and suppress noise para habilitar la correlación para la política de alertas.

Tipos de decisión

Las decisiones determinan cómo la inteligencia de incidentes correlaciona los problemas. La lógica de correlación de New Relic está disponible para su equipo en tres tipos de decisiones diferentes:

Global decision
: un amplio conjunto de decisiones predeterminadas se habilita automáticamente cuando comienza a utilizar la inteligencia aplicada.
Suggested decision
: El motor de correlación de New Relic evalúa constantemente los datos de su evento para sugerir decisiones que capturen patrones de correlación para reducir el ruido. Puede obtener una vista previa de los resultados de la simulación de una decisión sugerida y elegir activarla.
Custom decision
: Su equipo puede personalizar las decisiones según su caso de uso para mejorar la eficacia de la correlación. La UI de decisión de New Relic le brinda flexibilidad para configurar todas las dimensiones en una decisión.

Revisa tus decisiones activas

Para revisar las decisiones existentes de su equipo:

Vaya a
one.newrelic.com> Alerts & AI > Incident intelligence > Decisions
.
Revisar la lista de decisiones activas. Para ver la lógica de reglas que crea correlaciones entre sus problemas, haga clic en la decisión.
Para ver ejemplos de incidentes relacionados con la decisión, haga clic en la pestaña
Recent correlations
.
Tiene la opción de habilitar o deshabilitar estas decisiones globales.

Configurar fuentes

Antes de configurar sus decisiones, es importante determinar las fuentes que le gustaría correlacionar. Las fuentes son sus entradas de datos.

Puede obtener datos de cualquiera de las siguientes fuentes:

Al habilitar la inteligencia de incidentes para sus políticas , puede obtener contexto y correlaciones de lo que está monitoreando. Para obtener datos de alerta:

Desde one.newrelic.com, haga clic en Alerts.
A la izquierda, debajo de incident intelligence, haga clic en Sources y luego haga clic en Alerts.
Seleccione las políticas que desea conectar a la inteligencia aplicada y haga clic en Connect.
Puedes agregar política de alertas adicionales o eliminar políticas que ya hayas conectado en Sources > Alerts.
Sugerencia
Agregar alerta como fuente no afectará su configuración o notificación actual.

Incidente Intelligence admite una interfaz API REST dedicada que le permite integrarse con sistemas adicionales. La interfaz permite la instrumentación de su código u otras soluciones de monitoreo para informar cualquier tipo de métrica o evento.

Una métrica puede ser un punto de datos sin procesar, como CPU, memoria, utilización del disco o KPI empresarial.
Un evento puede ser una alerta de monitoreo, un evento de despliegue, un incidente, excepciones o cualquier otro cambio de estado que desee describir.
También puedes enviar cualquier tipo de datos a incidente Intelligence directamente desde tus propios sistemas o aplicaciones. La API REST admite la autenticación segura basada en tokeny acepta contenido JSON como entrada.
Para obtener más información sobre la autenticación y la referencia completa de la API, consulte API REST para la inteligencia aplicada de New Relic.

Decisiones globales

Las decisiones globales se habilitan automáticamente cuando su equipo comienza a utilizar inteligencia aplicada. No requieren configuración y están disponibles de inmediato para su equipo. Las decisiones globales cubren una variedad de escenarios de correlación.

La siguiente tabla proporciona descripciones de todas las decisiones globales que se habilitan automáticamente.

Nombre de la decisión	Descripción
Mismo nombre de objetivo New Relic (NRQL)	La correlación se activa cuando el nombre de la entidad con un umbral excedido y la consulta NRQL son iguales. Se identificará el evento relevante de la misma condición de alerta NRQL . Esta decisión ayuda a relacionar problemas que tienen la misma desviación de latencia de consulta de transacción, por ejemplo.
Mismo nombre de objetivo New Relic (no NRQL)	La correlación se activa porque los umbrales de alerta no NRQL de New Relic son los mismos. No se aplica a la fuente REST. La entidad que no es NRQL se refiere a la entidad, generalmente la aplicación, los tipos de HOST; consulte el repositorio de New Relic GitHub sobre síntesis de entidades. Con esta decisión se identificarán temas relevantes de la misma entidad. Por ejemplo, un problema de memoria alta del host y un problema de no notificación del host podrían ser muy posibles debido a la misma causa.
Misma ID de objetivo New Relic	La correlación se activa porque los umbrales de alerta no NRQL de New Relic son los mismos. No se aplica a la fuente REST. Utilice el ID de entidad para identificar de forma única una instancia de entidad; obtenga más información sobre entity.guid.
Misma New Relic	La correlación se activa porque los New Relic ID de condición son los mismos. Por ejemplo, el aumento del uso de la CPU con servicios relacionados provocará un incidente de la misma condición de uso de la CPU y, por lo tanto, será identificado. Esta lógica es valiosa más allá de la opción de preferencia de creación de problemas de política de alertas para un problema por condición, debido a la granularidad a nivel de condición y la flexibilidad al definir la ventana de tiempo de correlación.
Misma New Relic y URL de enlace profundo	La correlación se activa porque los ID de condición de New Relic y la URL del enlace profundo son los mismos. La URL del enlace profundo proporciona información sobre series temporales y rangos de tiempo además de la condición de alerta. La correlación de estos problemas le facilita observar los incidentes relacionados en el flujo de respuesta a incidentes con métricas con alcance temporal y realizar un análisis profundo. La URL del enlace profundo se puede generar automáticamente si los incidentes se activan mediante la condición de alerta de New Relic, mientras que para la fuente REST, deepLinkUrl debe ser definido por el usuario.
Misma condición y título New Relic	La correlación se activa porque los New Relic nombres y títulos de las condiciones de la son los mismos. Esta es una opción refinada al comparar títulos y condiciones para revelar una relevancia más estricta con el mismo mensaje de alerta.
Mismo despliegue de k8s	La lógica de correlación está activada porque los kubernetes desplegados son los mismos. Muchos incidentes se deben a cambios de despliegue único. Esta decisión tiene como objetivo reducir los problemas del mismo despliegue problemático de la entidad Kubernetes.
Mismo nombre de aplicación, política e identificación	La lógica de correlación se activa porque el nombre de la aplicación personalizada, la política y el ID personalizado son los mismos. Correlacionamos los problemas con estos elementos para reducir los problemas de la aplicación, especialmente para atender a las etiquetas de usuario personalizadas. Obtenga más información sobre la etiqueta. La ID de etiqueta personalizada podría definirse mediante la ID de familia de condiciones u otros valores de ID utilizados como clave para identificar conexiones entre datos.
Mensaje de alerta similar	La correlación se activa porque los incidentes tienen títulos similares y son de la misma entidad. Esto es para reducir los problemas de la misma entidad que son causados por condiciones de alerta similares.
Misma credencial segura, ubicación pública y tipo	La correlación se activa porque la credencial segura, la ubicación pública y el tipo personalizado son los mismos respectivamente. Esto es para correlacionar problemas de la misma ubicación geográfica/región con las mismas credenciales de seguridad que normalmente se activan por una única causa raíz (por ejemplo, falla del monitor Sintético) y que muy probablemente podrían abordarse con la misma solución. Añade etiqueta para beneficiarte de esta decisión.
Estructura de problemas similar	La correlación se activa porque ambos incidentes tienen una estructura de atributos y contenidos de datos similares. Esta es una versión más simple de clúster, adopta algoritmos de similitud avanzados en el cálculo matricial para reducir problemas altamente relacionados.
Topológicamente dependiente	La correlación se activa porque los incidentes se generan a partir de instancias que tienen relaciones de dependencia. Obtenga más información sobre la correlación de topología lista para usar.

Utilice decisiones sugeridas

Los datos de las fuentes seleccionadas se inspeccionan continuamente en busca de patrones para ayudar a reducir el ruido. Una vez que se hayan observado patrones en sus datos, nuestra lógica de correlación sugerirá decisiones únicas que permitirían que estos tipos de eventos se correlacionen en el futuro.

Para comenzar, haga clic en la pestaña Suggested decisions en el tema de la página de UI Decisions. Puede ver la lógica detrás de la decisión sugerida y la tasa de correlación estimada haciendo clic en cada decisión sugerida.

one.newrelic.com > All capabilities > Alerts & AI > Decisions: Algunos ejemplos de estadísticas de la UI de decisiones .

Para habilitar una decisión sugerida, haga clic en Add to your decisions. Una vez activada, la decisión aparecerá en la tabla de decisiones principal de su equipo. Todas las decisiones sugeridas mostrarán al creador como New Relic AI (esto se refiere a la inteligencia aplicada de New Relic).

Si la decisión sugerida no es relevante para sus necesidades, haga clic en Dismiss.

Crea decisiones personalizadas

Puede reducir el ruido y mejorar la correlación creando sus propias decisiones personalizadas. Para comenzar a tomar una decisión, vaya a one.newrelic.com > All capabilities > Alerts & AI > Decisions y luego haga clic en Create new decision.

Hay dos versiones del generador de decisiones:

Generador de decisiones básico (en vista previa)
Generador de decisiones avanzado

Para obtener más información sobre cómo utilizar estos constructores de decisiones, siga leyendo.

Elementos de decisión

Una decisión se compone de estos elementos:

Correlacionar por atributo: Correlacionar todos los incidentes por similitudes o diferencias en su atributo.
Filtrar por valores específicos: limita el incidente a aquellos con valores específicos.
Filtrar por entidad relacionada: Selecciona los tipos de conexiones compartidas o dependencia que quieres que busquemos.
Rango de tiempo de correlación: establece la diferencia de tiempo máxima permitida entre los tiempos de creación de dos incidentes para que se consideren para la correlación.

Una vez que se establecen las conexiones entre incidentes, nuestro algoritmo agrupa los incidentes correlacionados en un solo problema.

Constructor de decisiones básico

This feature is currently in preview and available for only some customers. Si no tiene acceso, consulte las instrucciones del generador de decisiones avanzado.

Aquí hay un video corto (3:25 minutos) que muestra cómo usar el generador de decisiones básico:

El generador de decisiones básico cubre la mayoría de los casos de uso y se centra en "correlacionar por atributo", donde puede especificar condiciones de filtrado para coincidencias de correlación. También puede aplicar la misma lógica de filtro para valores específicos de ambos incidentes que se correlacionan. Por ejemplo, puede correlacionar el incidente si el nombre de la entidad es host 1 para ambos.

Para crear su propia decisión personalizada utilizando el generador de decisiones básico, complete los siguientes pasos. Tenga en cuenta que los pasos 1, 2 y 3 son opcionales por sí solos, pero se debe definir al menos uno de los tres para poder tomar una decisión.

Paso 1: Correlacionar por atributo

Elija un atributo del menú desplegable. El operador equal , la opción más popular, está preseleccionado o puedes elegir otro operador.

El segundo atributo normalmente coincide con el primero, por lo que se completa automáticamente. Puede mantener la opción de autocompletar o elegir otro operador.

Una vez que haya terminado, se ejecutará una simulación automáticamente.

Puede repetir estos pasos para agregar hasta ocho filtros lógicos.

Paso 2: filtrar por valores específicos

Para abrir la sección Filter by specific values y ver filtros adicionales, haga clic en
See more options
.
Elija un atributo.
El operador equal está preseleccionado o puede seleccionar otro operador.
Seleccione los valores esperados para el atributo elegido, admitiéndose múltiples selecciones.

Cuando se complete, la simulación se ejecutará automáticamente.

Puede repetir estos pasos para agregar hasta ocho filtros lógicos.

Haga clic en Filter by related entities y elija las clases de entidad.

Cuando el agente New Relic recopila sus datos, obtiene una correlación topológica automática. Obtenga más información sobre nuestra correlación de topología predeterminada.

También puede configurar la configuración de topología utilizando nuestra API NerdGraph. Esto permite que cualquier decisión relacionada con la topología coincida con sus datos de topología. Obtenga más información sobre cómo configurar la correlación de topología.

Paso 4: establecer el rango de tiempo de correlación

Esto establece la diferencia de tiempo máxima permitida entre los tiempos de creación de dos incidentes para que se consideren para la correlación. Los incidentes dentro de este rango se evaluarán según reglas específicas, mientras que aquellos fuera del rango no se correlacionarán.

El rango de tiempo está establecido en 20 minutos de forma predeterminada. Puedes ajustarlo entre 1 y 120 minutos.

Paso 5: Probar su decisión mediante una simulación

Después de agregar una lógica de filtro, el sistema ejecuta automáticamente una simulación utilizando los datos de incidentes de los últimos 7 días.

También puede activar manualmente la simulación haciendo clic en Simulate, lo que quizás desee hacer si se cambia algo en la decisión.

Paso 6: Nombra y guarda tu decisión

Para acceder al panel de nombre y descripción, haga clic en Create decision. El sistema genera un nombre en función de su decisión. Personalice el nombre y la descripción como desee.

Generador de decisiones avanzado

El generador de decisiones avanzado permite la creación de decisiones más complejas al aplicar diferentes filtros lógicos a los dos incidentes que se correlacionan. Por ejemplo, puede correlacionar el incidente si uno tiene el nombre de entidad host 1 y el otro tiene el nombre de entidad host 2. También hay configuraciones más avanzadas además de poder configurar solo la ventana de tiempo.

Para utilizar el generador de decisiones avanzado:

Vaya a
one.newrelic.com > All capabilities > Alerts & AI > Decisions
.
Haga clic en
Create new decision
y luego haga clic en
Use advanced builder
.

Para obtener detalles sobre las opciones disponibles, siga leyendo.

Términos importantes:

Filtro lógico: Condición lógica definida con un operador sobre un atributo.
Segmento: grupo de incidentes que satisfacen una combinación de filtros lógicos.

Para crear su propia decisión personalizada, complete los siguientes pasos. Tenga en cuenta que los pasos 1, 2 y 3 son opcionales por sí solos, pero se debe definir al menos uno de los tres para poder tomar una decisión.

Paso 1: Filtra tus datos

La correlación se produce entre dos incidentes cualesquiera. Si no se definen filtros, la decisión tendrá en cuenta todos los incidentes entrantes. Cuanto más configure sus decisiones para que se adapten a sus necesidades, mejor podremos correlacionar su incidente, reducir el ruido y proporcionar un mayor contexto para los equipos de guardia.

Su equipo puede definir sus filtros para el primer segmento del incidente y el segundo segmento del incidente. Los operadores de filtro van desde la coincidencia de subcadenas hasta la coincidencia de expresiones regulares para ayudarle a identificar el evento de incidente que desea y excluir los que no.

Paso 2: Correlacionar por atributo

Una vez que haya filtrado sus datos, defina la lógica utilizada al comparar el contexto del incidente. Puede correlacionar eventos basándose en los siguientes métodos:

Comparaciones de valores de atributos con operadores estándar
Similitud del valor del atributo utilizando algoritmos de similitud
Expresión regular de valor de atributo con grupos de captura
Comparaciones de incidentes completos utilizando algoritmos de similitud o clúster

Paso 3: Correlacionar por entidad relacionada

Para una correlación de topología automática, asegúrese de que telemetry data el agente New Relic recopile sus . Obtenga más información sobre la correlación de topología lista para usar.

Paso 4: dale un nombre

Después de configurar su lógica de decisión, asígnele un nombre y una descripción reconocibles.

Sugerencia

Minimice los problemas de seguridad asegurándose de no agregar información personal o confidencial a estos campos de texto abiertos.

Esto se utiliza en notificaciones y otras áreas de la UI para indicar qué decisión provocó que un par de incidentes se correlacionaran. Si no desea actualizar la configuración avanzada predeterminada en el siguiente paso, haga clic en Create decision para finalizar la creación.

Paso 5: use la configuración avanzada

Utilice el área de configuración avanzada para personalizar aún más cómo se comporta su decisión al correlacionar eventos. Cada configuración tiene un valor predeterminado, por lo que la personalización es opcional.

Time window
: establece el tiempo máximo entre dos incidentes creados para que sean elegibles para la correlación.
Issue priority
: Anula la configuración de prioridad predeterminada (inherit priority) para agregar una prioridad mayor o menor si el incidente está correlacionado.
Frequency
: Modifica el número mínimo de incidentes que deben cumplir la lógica de decisión para que se active la decisión.
Similarity
: si utiliza operadores similar to en su lógica de decisión, puede elegir de una lista de algoritmos y establecer su sensibilidad. Esto se aplicará a todos los similar to operadores en su decisión.

Operadores lógicos

Decision proporciona un conjunto de operadores para ayudarle a definir de manera flexible cómo se evalúa el valor del atributo de un incidente en un filtro lógico. Los básicos son equals, contains, starts with, ends with, exists y sus operadores de negación en consecuencia. Por ejemplo, does not equal.

Hay un operador de similitud is similar to, el algoritmo de similitud subyacente se puede especificar para este operador. De forma predeterminada, utiliza la distancia de Levenshtein.

El operador contains (regex) permite definir la condición de expresión regular . Potente para unir valores de datos arbitrarios.

Algoritmos de similitud

Aquí hay detalles técnicos sobre los algoritmos de similitud que utilizamos:

Esta medida es útil para comparar cadenas cortas con esquemas estáticos y longitud fija, como nombres de host. La distancia de Levenshtein también se conoce como distancia de edición.

Detalles	Descripción
Cómo funciona	La distancia de Levenshtein entre dos cadenas es el número mínimo de ediciones de un solo carácter para pasar de una cadena a la otra. Las operaciones de edición permitidas son eliminación, inserción y sustitución. El umbral de similitud predeterminado para decisiones de inteligencia aplicada es una distancia de edición de 3. Puede cambiar esto en el Advanced mode del generador de decisiones.
Cuando usarlo	Esta medida es más útil para comparar cadenas relativamente cortas con esquemas estáticos y longitud fija. Las aplicaciones comunes incluyen correctores ortográficos, biología computacional y reconocimiento de voz.
Ejemplos	`number/bumble: 3 (number → bumber → bumblr → bumble)` `trying/lying: 2 (trying → rying → lying)` `strong/through: 4 (strong → htrong → throng → throug → through)`
Posibles inconvenientes	El algoritmo de distancia de Levenshtein no está normalizado de forma predeterminada para tener en cuenta las longitudes de las cadenas.

Esta métrica es útil para comparar cadenas de la misma longitud donde el mismo prefijo sería un buen indicador de correlación.

Detalles	Descripción
Cómo funciona	El algoritmo de puntuación difusa funciona asignando "puntos" por coincidencias de caracteres entre cadenas: Un punto por cada personaje coincidente. Dos puntos de bonificación para partidos posteriores Cuanto mayor sea la puntuación difusa, mayor será la similitud entre dos cadenas.
Cuando usarlo	La puntuación difusa es más útil para cadenas que tienen los mismos prefijos y relativamente cortos (idealmente menos de cinco caracteres). Una puntuación mínima garantizada sería `(length(expected prefix) * 3) - 2`.
Ejemplos	Ejemplo: `Decisions / dcsions` `d: 1` `c: 1` `i 1` `s: 2` `o: 1` `n: 1` `si: 2` `io: 2` `on: 2` `ns: 2` `= 15 points`
Posibles inconvenientes	Si el primer carácter de la primera cadena no se encuentra en la segunda cadena, no se otorgan puntos.

Esta métrica es útil para comparar cadenas de longitud similar.

Detalles	Descripción
Cómo funciona	SeatGeek desarrolló la familia fuzzy wuzzy de medidas de similitud para ayudar a encontrar entradas para el mismo evento que tengan diferentes etiquetas en múltiples plataformas. La proporción difusa de dos cadenas se expresa como porcentaje, donde un número más alto indica una cadena más similar. Está basado en el algoritmo SequenceMatcher en difflib de Python.
Cuando usarlo	La relación difusa es eficaz para cadenas muy cortas (como el nombre de host) o cadenas muy largas (como la descripción de un evento), especialmente al comparar cadenas de longitud similar.
Posibles inconvenientes	Este algoritmo es demasiado sensible para utilizarlo de forma eficaz en cadenas de 3 a 10 palabras. Una de las otras modificaciones de Fuzzy Wuzzy (ver más abajo) puede ser una mejor opción.

Esta métrica es útil para comparar cadenas de diferente longitud. Esta modificación del algoritmo difuso wuzzy ayuda a abordar la limitación de longitud efectiva.

Detalles	Descripción
Cómo funciona	Con la relación parcial difusa, la cadena más corta se compara con cada subcadena de la misma longitud dentro de la cadena más larga. La puntuación de la subcadena "mejor coincidencia" se utiliza para determinar la proporción parcial difusa.
Cuando usarlo	La relación parcial difusa es especialmente efectiva para los tipos de comparaciones en los que el algoritmo básico difuso wuzzy falla: cadenas de 3 a 10 palabras donde es probable que algunas subcadenas significativas se superpongan.
Ejemplos	Por ejemplo, entre las siguientes cadenas: `DevOps and SRE teams` `DevOps` `DevOps` (la cadena más corta, longitud = 6) se compararía con cada subcadena con longitud 6 dentro de `DevOps and SRE teams`. Dado que una de esas subcadenas (`DevOps`) es una coincidencia perfecta, la proporción parcial difusa para estas dos cadenas será alta.
Posibles inconvenientes	Mientras que el wuzzy difuso puede ser demasiado conservador, la coincidencia parcial del wuzzy difuso puede ser más liberal de lo esperado con las correlaciones. Puede ajustar el umbral en el generador de decisiones según sus necesidades.

Esta métrica es útil para comparar cadenas donde la información puede no estar en el mismo orden y tener posibles longitudes diferentes. Funciona mejor para oraciones como mensajes, descripciones, etc.

Detalles	Descripción
Cómo funciona	El algoritmo de relación de conjunto token sigue algunos pasos para comparar cadenas: Tokenice cada cadena (por ejemplo, “DevOps and ingeniería de confiabilidad del sitio (SRE) equipos” a "DevOps" "y" "ingeniería de confiabilidad del sitio (SRE)" "teams"; "ingeniería de confiabilidad del sitio (SRE) team and DevOps ingeniero" a "ingeniería de confiabilidad del sitio (SRE)" "teams" "y" "DevOps" "ingeniero") Combine el token que se cruza en una nueva cadena, dejando el token restante (por ejemplo, que se cruza: "DevOps", "and", "ingeniería de confiabilidad del sitio (SRE)"; resto1: "teams"; resto2: "team", "ingeniero ") Ordene alfabéticamente cada grupo token (p. ej. “and, DevOps, ingeniería de confiabilidad del sitio (SRE)”, “teams”, ingeniero, team”) Compare los siguientes pares de cadenas: Grupo de intersección Grupo de intersección + resto1 Grupo de intersección + resto2 La comparación de estos pares ("mejores coincidencias") es la proporción del conjunto token difusos.
Cuando usarlo	Esta métrica es útil en casos en los que cadenas similares pueden tener palabras superpuestas pero una construcción diferente; por ejemplo, descripciones de eventos para diferentes problemas con el mismo recurso.
Posibles inconvenientes	Mientras que Fuzzy Wuzzy puede ser demasiado conservador, la coincidencia del conjunto token Fuzzy Wuzzy puede ser más liberal de lo esperado con las correlaciones. Puede ajustar el umbral en el generador de decisiones según sus necesidades.

Detalles

Descripción

Cómo funciona

El algoritmo de relación de conjunto token sigue algunos pasos para comparar cadenas:

Tokenice cada cadena (por ejemplo, “DevOps and ingeniería de confiabilidad del sitio (SRE) equipos” a "DevOps" "y" "ingeniería de confiabilidad del sitio (SRE)" "teams"; "ingeniería de confiabilidad del sitio (SRE) team and DevOps ingeniero" a "ingeniería de confiabilidad del sitio (SRE)" "teams" "y" "DevOps" "ingeniero")
Combine el token que se cruza en una nueva cadena, dejando el token restante (por ejemplo, que se cruza: "DevOps", "and", "ingeniería de confiabilidad del sitio (SRE)"; resto1: "teams"; resto2: "team", "ingeniero ")
Ordene alfabéticamente cada grupo token (p. ej. “and, DevOps, ingeniería de confiabilidad del sitio (SRE)”, “teams”, ingeniero, team”)
Compare los siguientes pares de cadenas:
Grupo de intersección
Grupo de intersección + resto1
Grupo de intersección + resto2
La comparación de estos pares ("mejores coincidencias") es la proporción del conjunto token difusos.

Cuando usarlo

Esta métrica es útil en casos en los que cadenas similares pueden tener palabras superpuestas pero una construcción diferente; por ejemplo, descripciones de eventos para diferentes problemas con el mismo recurso.

Posibles inconvenientes

Mientras que Fuzzy Wuzzy puede ser demasiado conservador, la coincidencia del conjunto token Fuzzy Wuzzy puede ser más liberal de lo esperado con las correlaciones. Puede ajustar el umbral en el generador de decisiones según sus necesidades.

Esta métrica es útil para cadenas cortas donde prefijos idénticos son una fuerte indicación de correlación.

Detalles	Descripción
Cómo funciona	Esta métrica utiliza una escala de 0 a 1 para indicar la similitud entre dos cadenas, donde 0 significa que no hay similitud (0 caracteres coincidentes entre cadenas) y 1 es una coincidencia exacta. La similitud de Jaro-Winkler tiene en cuenta: `matching`: dos caracteres iguales y en posiciones similares en las cadenas. `transpositions`: caracteres coincidentes que están en diferente orden de secuencia en las cadenas. `prefix scale`: la distancia Jaro-Winkler se ajusta favorablemente si las cadenas coinciden desde el principio (un prefijo tiene hasta 4 caracteres).
Cuando usarlo	Esta métrica es bastante tolerante con las transposiciones, pero las transposiciones más separadas en la cadena son menos útiles. Un número generalmente seguro para utilizar para la similitud Jaro-Winkler en cadenas de moderadas a largas es 0,9; podría utilizar `{~}0.85` en los casos en los que esté bien ser más indulgente (por ejemplo, si tiene otra lógica más específica en la decisión).

Detalles

Descripción

Cómo funciona

Esta métrica utiliza una escala de 0 a 1 para indicar la similitud entre dos cadenas, donde 0 significa que no hay similitud (0 caracteres coincidentes entre cadenas) y 1 es una coincidencia exacta. La similitud de Jaro-Winkler tiene en cuenta:

matching: dos caracteres iguales y en posiciones similares en las cadenas.
transpositions: caracteres coincidentes que están en diferente orden de secuencia en las cadenas.
prefix scale: la distancia Jaro-Winkler se ajusta favorablemente si las cadenas coinciden desde el principio (un prefijo tiene hasta 4 caracteres).

Cuando usarlo

Esta métrica es bastante tolerante con las transposiciones, pero las transposiciones más separadas en la cadena son menos útiles.

Un número generalmente seguro para utilizar para la similitud Jaro-Winkler en cadenas de moderadas a largas es 0,9; podría utilizar {~}0.85 en los casos en los que esté bien ser más indulgente (por ejemplo, si tiene otra lógica más específica en la decisión).

Esta medida se utiliza más comúnmente para comparar grandes bloques de texto (por ejemplo, descripciones de incidentes) y proporciona una visualización sencilla de la similitud.

Detalles	Descripción
Cómo funciona	Para cada bloque de texto que estás comparando, se calcula un vector para representar el recuento de cada palabra única en el bloque. La distancia coseno de los vectores resultantes es su producto escalar dividido por el producto de sus magnitudes.
Cuando usarlo	Esta medida es más útil para comparar bloques largos de texto, específicamente cuando la comparación pretende considerar el texto como un todo, y no diferencias o errores ortográficos en palabras individuales.
Ejemplos	`It is not length of life, but depth of life. Depth of life does not depend on length.` Aquí están los recuentos de palabras para estas oraciones: `it 1 0` `is 0 1` `not 1 1` `length 1 1` `of 2 1` `life 2 1` `but 1 0` `depth 1 1` `does 0 1` `depend 0 1` `on 0 1` Y aquí están esos recuentos representados como un vector: `[1, 0, 1, 1, 2, 2, 1, 1, 0, 0, 0] [0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1]` La distancia del coseno de estos vectores es aproximadamente 0,9 (1 es la mayor similitud).
Posibles inconvenientes	La distancia del coseno es menos útil en situaciones en las que las pequeñas diferencias de caracteres en las palabras son insignificantes. Además, la distancia del coseno ignora el orden de las palabras en los bloques de texto.

Para obtener más información sobre la implementación de la distancia del coseno, consulte el tutorial detallado en blog.christianperone.com.

Esta medida es útil para textos más cortos con esquema estático, pero solo funciona para cadenas de la misma longitud.

Detalles	Descripción
Cuando usarlo	La distancia de Hamming requiere que las cuerdas comparadas tengan la misma longitud. Esta es una métrica de similitud útil para situaciones en las que la diferencia entre dos cadenas puede deberse a errores tipográficos o en las que desea comparar dos atributos con longitudes conocidas. Por ejemplo: `Low Disk Space in application myapp in datacenter us01` Si desea ser tolerante a los cambios del centro de datos, la distancia de Hamming debe establecerse en 4. Un caso de uso promedio para la distancia de Hamming sería de alrededor de 2-3.
Ejemplos	Una versión más simple de "editar distancia" métrica como la distancia de Levenshtein, la distancia de Hamming entre dos cadenas es el número de caracteres en la cadena que no coinciden (en la misma posición). Por ejemplo, en las cadenas siguientes, la distancia de Hamming es 2: `flowers / florets`
Posibles inconvenientes	En el ejemplo anterior, si cambia el nombre de la aplicación en lugar del centro de datos, también se creará una correlación. A medida que aumenta la distancia, la utilidad de Hamming Distance se desploma. Por esta razón, para cualquier cosa remotamente más complicada que ser tolerante a sustituciones de 1 o 2 caracteres (o si las longitudes de las cadenas no coinciden), utilice una medida de similitud diferente.

Detalles

Descripción

Cuando usarlo

La distancia de Hamming requiere que las cuerdas comparadas tengan la misma longitud. Esta es una métrica de similitud útil para situaciones en las que la diferencia entre dos cadenas puede deberse a errores tipográficos o en las que desea comparar dos atributos con longitudes conocidas. Por ejemplo:

Low Disk Space in application myapp in datacenter us01

Si desea ser tolerante a los cambios del centro de datos, la distancia de Hamming debe establecerse en 4. Un caso de uso promedio para la distancia de Hamming sería de alrededor de 2-3.

Ejemplos

Una versión más simple de "editar distancia" métrica como la distancia de Levenshtein, la distancia de Hamming entre dos cadenas es el número de caracteres en la cadena que no coinciden (en la misma posición). Por ejemplo, en las cadenas siguientes, la distancia de Hamming es 2:

flowers / florets

Posibles inconvenientes

En el ejemplo anterior, si cambia el nombre de la aplicación en lugar del centro de datos, también se creará una correlación. A medida que aumenta la distancia, la utilidad de Hamming Distance se desploma. Por esta razón, para cualquier cosa remotamente más complicada que ser tolerante a sustituciones de 1 o 2 caracteres (o si las longitudes de las cadenas no coinciden), utilice una medida de similitud diferente.

Esta medida es útil para comparar grandes bloques de texto, como descripciones o un incidente completo.

Detalles	Descripción
Cómo funciona	La distancia, expresada como porcentaje (siendo 0 completamente similar; 1 siendo totalmente diferente) se calcula con la siguiente fórmula: `1 - [(# of characters in both sets) / (# of characters in either set) * 100]` En otras palabras, la distancia Jaccard es el número de caracteres compartidos dividido por el número total de caracteres (compartidos y no compartidos). Una distancia Jaccard de 0,1 significa que el 10% o menos de los caracteres entre dos incidentes son diferentes.
Cuando usarlo	La distancia de Jaccard es muy fácil de interpretar y especialmente útil en casos con un gran conjunto de datos. Por ejemplo, al comparar la similitud entre dos incidentes completos (en contraposición a un atributo).
Posibles inconvenientes	Es menos eficaz para conjuntos de datos pequeños o situaciones en las que faltan datos. Además, las diferentes permutaciones del conjunto de caracteres no afectan la distancia de Jaccard, así que tenga cuidado para evitar falsos positivos.

Detalles

Descripción

Cómo funciona

La distancia, expresada como porcentaje (siendo 0 completamente similar; 1 siendo totalmente diferente) se calcula con la siguiente fórmula:

1 - [(# of characters in both sets) / (# of characters in either set) * 100]

En otras palabras, la distancia Jaccard es el número de caracteres compartidos dividido por el número total de caracteres (compartidos y no compartidos). Una distancia Jaccard de 0,1 significa que el 10% o menos de los caracteres entre dos incidentes son diferentes.

Cuando usarlo

La distancia de Jaccard es muy fácil de interpretar y especialmente útil en casos con un gran conjunto de datos. Por ejemplo, al comparar la similitud entre dos incidentes completos (en contraposición a un atributo).

Posibles inconvenientes

Es menos eficaz para conjuntos de datos pequeños o situaciones en las que faltan datos. Además, las diferentes permutaciones del conjunto de caracteres no afectan la distancia de Jaccard, así que tenga cuidado para evitar falsos positivos.

Operadores de expresiones regulares

Al tomar una decisión, los operadores disponibles incluyen:

contains (regex): utilizado en el Paso 1: Filtrar tus datos.
regular expression match: utilizado en el Paso 2: Correlación contextual.

El creador de decisiones sigue los estándares descritos en estos documentos para expresiones regulares.

Para que su expresión regular sea verdadera, se deben incluir en la coincidencia todos los valores de atributo para el incidente 1 y el incidente 2. Además, cada grupo capturado (expresiones entre ( ) paréntesis) debe existir en ambos valores (incidente 1 y atributo de incidente 2), y tener el mismo valor:

El número de grupos capturados debe ser igual para ambos atributos del incidente.
Cada grupo debe ser igual al grupo correspondiente entre valores de atributo: el valor del primer grupo capturado en el atributo incidente 1 es igual al valor del primer grupo capturado en el atributo incidente 2.
Para una instancia, si el valor del atributo 1 es abc-123-xyz y el valor del atributo 2 es abc-777-xyz, entonces (\w+)-(?:\w+)-(\w+) cumpliría los criterios:
El valor total coincide con la expresión.
El primer y tercer grupo capturado tienen los mismos valores respectivos.
El segundo grupo no se captura usando ?:, lo que permite que coincida todo el valor pero no se usa en la comparación del grupo de captura.

Asistente de correlación

Puede utilizar el asistente de correlación para analizar incidentes más rápidamente, crear una lógica de decisión y probar la lógica con una simulación. Para utilizar el asistente de correlación:

Vaya a la pestaña
one.newrelic.com > All capabilities > Alerts & AI > Issues & activity > Incidents
.
Marque las casillas del incidente que le gustaría correlacionar. Luego, en la parte inferior de la lista de incidentes, haga clic en
Correlate incidents
.
Para obtener mejores resultados al correlacionar incidentes, seleccione un atributo común con un porcentaje de frecuencia bajo. Obtenga más información sobre el uso de la frecuencia.
Haga clic en
Simulate
para ver el efecto probable de su nueva decisión en la última semana de sus datos.
Haga clic en ejemplos de pares de correlación para determinar qué correlaciones utilizar.
Si le gusta lo que se ha simulado, haga clic en
Next
y luego mencione y describa su decisión.
Si el resultado de la simulación muestra demasiados incidentes potenciales, es posible que desee elegir un conjunto diferente de atributo e incidente para su decisión y ejecutar otra simulación. Obtenga más información sobre la simulación.

En la UI aparecen dos tipos de análisis de atributos:

Common attributes: Este análisis simplemente resalta los atributos y valores que son exactamente iguales entre todos los incidentes seleccionados.
Similar attributes: El análisis de similitud utiliza el algoritmo de Levenshtein con una distancia de 3 para encontrar atributos cuyos valores serían los mismos si se realizan 3 o menos cambios de caracteres. Los valores numéricos y los valores de un solo carácter se filtran de los resultados. Un atributo similar requiere que se seleccionen dos incidentes, el análisis de similitud no se realiza cuando se seleccionan 3 o más incidentes.
Para tomar las mejores decisiones, recomendamos elegir atributos comunes que tengan una menor frecuencia en su incidente. A continuación se ofrecen consejos para comprender cómo la elección de un atributo de baja o alta frecuencia afecta sus decisiones:
Low frequency: Por ejemplo, un atributo con un 0% en la columna de frecuencia probablemente sea un identificador único o un atributo que recientemente se informó en sus datos en el último mes. La elección de un atributo de baja frecuencia puede tener correlación con algunos eventos.
High frequency: Por otro lado, un atributo con 100% de frecuencia sería aquel que está presente en todos sus datos. Elegir estos atributos correlacionaría todos sus eventos juntos.
Por defecto, los atributos están ordenados por menor frecuencia. Haga clic en el porcentaje de frecuencia de un atributo para obtener información sobre la distribución de los valores que hemos visto reportados para ese atributo en el último mes.

Usando simulación

La simulación probará la lógica con la última semana de sus datos y le mostrará cuántas correlaciones habrían ocurrido. A continuación se muestra un desglose de la información de vista previa de la decisión que se muestra cuando simula:

Potential correlation rate:
El porcentaje de incidentes testados que esta decisión habría afectado.
Total created incidents:
El número de incidentes analizados por esta decisión.
Total estimated correlated incidents:
El número estimado de incidentes que esta decisión habría correlacionado.
Incident examples:
Una lista de pares de incidentes que la decisión habría correlacionado, incluidos los atributos y valores de la regla, así como otros atributos populares en cada par. Haga clic en el incidente para ver los detalles.

Ejecute la simulación con diferentes atributos tantas veces como necesite hasta que vea los resultados que le gusten. Cuando estés listo, sigue el símbolo UI para guardar tu decisión.

Correlación de topología

Para la inteligencia aplicada de New Relic, la topología es una representación de su mapa de servicios: cómo se relacionan entre sí los servicios y recursos de su infraestructura.

Para las decisiones de usuario, se agrega y habilita una decisión de topología predeterminada en su cuenta. También tienes la opción de crear decisiones personalizadas.

Nuestra correlación de topología encuentra relaciones entre fuentes de incidentes para determinar si el incidente y, por lo tanto, sus respectivos problemas deben correlacionarse. La correlación de topología está diseñada para mejorar la calidad de sus correlaciones y la velocidad a la que se encuentran.

Requisitos

Para una correlación de topología automática (sin la necesidad de configurar explícitamente un gráfico de topología),telemetry data asegúrese de que el agente New Relic recopile sus . Cuantos más tipos de agentes New Relic estén instalados en sus servicios y entorno, más oportunidades habrá para que las decisiones de topología correlacionen su incidente.

¿Cómo funciona la correlación de topología?

En este mapa de servicios, los hosts y las aplicaciones son los vértices y las líneas que muestran sus relaciones son los bordes.

Para configurar su topología además de la entidad y las relaciones recopiladas por el agente New Relic, utilice nuestra API NerdGraph.

La correlación de topología personalizada se basa en dos conceptos principales:

Vertex:
Un vértice representa una entidad monitora. Es la fuente de donde proviene el incidente o describe un síntoma problemático. Un vértice tiene un atributo (pares de valores principales) configurado para él, como GUID de entidad u otros ID, que permiten asociarlo con un evento de incidente entrante.
Edges:
Una arista es una conexión entre dos vértices. Los bordes describen la relación entre los vértices.

Puede resultar útil comprender cómo se utiliza la topología para correlacionar incidentes:

Primero, New Relic reúne todos los incidentes relevantes. Esto incluye incidentes en los que los pasos 1 y 2 de la lógica de decisión son verdaderos y que también están dentro del período de tiempo definido en la configuración avanzada.
A continuación, intentamos asociar cada incidente a un vértice en su gráfico de topología, utilizando el atributo que define un vértice y el atributo disponible en el incidente.
Un ejemplo de los pasos para asociar el incidente con la información del gráfico de topología.
Luego, los pares de vértices asociados con el incidente se prueban utilizando el operador "topológicamente dependiente" para determinar si estos vértices están conectados entre sí.
Este operador verifica si hay alguna ruta en el gráfico que conecte los dos vértices dentro de cinco saltos.
Luego se correlacionan los incidentes y se fusionan los problemas.

Agregar atributo al evento incidente

Los incidentes se conectan a los vértices utilizando el atributo definitorio de un vértice. (En el ejemplo de topología en Topología explicada, cada vértice tiene un atributo definitorio "CID" con un valor único). A continuación, la inteligencia aplicada encuentra un vértice que coincida con el atributo.

Si el atributo definitorio que le gustaría usar en sus vértices aún no está en su evento de incidente, use cualquiera de estas opciones para agregarlo:

Crear o ver topología

Para configurar su topología o ver la topología existente, consulte el tutorial de topología de NerdGraph.

Te ofrecemos esta traducción automática para facilitar la lectura.

Configurar la lógica de correlación con las decisiones.

¿Qué es la correlación y cómo funciona? .css-21sua1{background:none;border:none;width:0;padding:0;}

Configurar la política de correlación

Tipos de decisión

Revisa tus decisiones activas

Configurar fuentes

Aporía (MLOps)

Supersabio (MLOps)

API REST

Decisiones globales

Utilice decisiones sugeridas

Crea decisiones personalizadas

Elementos de decisión

Constructor de decisiones básico

Paso 1: Correlacionar por atributo

Ver una captura de pantalla UI

Paso 2: filtrar por valores específicos

Ver una captura de pantalla UI

Paso 3: Filtrar por entidad relacionada

Ver una captura de pantalla UI

Paso 4: establecer el rango de tiempo de correlación

Ver una captura de pantalla UI

Paso 5: Probar su decisión mediante una simulación

Ver una captura de pantalla UI

Paso 6: Nombra y guarda tu decisión

Ver una captura de pantalla UI

Generador de decisiones avanzado

Paso 1: Filtra tus datos

Ver una captura de pantalla UI

Paso 2: Correlacionar por atributo

Ver una captura de pantalla UI

Paso 3: Correlacionar por entidad relacionada

Ver una captura de pantalla UI

Paso 4: dale un nombre

Sugerencia

Ver una captura de pantalla UI

Paso 5: use la configuración avanzada

Ver una captura de pantalla UI

Operadores lógicos

Algoritmos de similitud

Distancia de Levenshtein

Puntuación difusa

Proporción borrosa y borrosa

Relación parcial difusa y difusa

Proporción de conjunto token difusos y difusos

Distancia jaro-winkler

Distancia del coseno

Distancia de Hamming

Distancia jaccard

Operadores de expresiones regulares

Expresiones regulares en el paso 1

Expresiones regulares en el paso 2

Acerca de las banderas

Asistente de correlación

Análisis de atributos

Usando simulación

Correlación de topología

Requisitos

¿Cómo funciona la correlación de topología?

Agregar atributo al evento incidente

Etiqueta tu entidad en New Relic

Etiqueta tu entidad en New Relic

Crear o ver topología

¿Qué es la correlación y cómo funciona?