• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

適用されたインテリジェンス相関ロジックを意思決定で変更する

当社のインシデント インテリジェンスは、ロジックを使用してインシデントを関連付けます。これらの論理操作は決定と呼ばれます。組み込みの決定があり、インシデント インテリジェンスの決定UI ページで独自の決定を作成およびカスタマイズできます。意思決定を最適に構成すればするほど、インシデント イベントのグループ化と関連付けが改善され、その結果、ノイズが減少し、オンコール チームのコンテキストが増加します。

one.newrelic.com> Applied intelligence > Incident intelligence > Decisions:私たちのUIは、各決定がインシデントをどのように相関させるかを示します。

重要な概念

意思決定ロジックを理解するための重要な概念は次のとおりです。

「相関」とは何ですか?それはどのように機能しますか?

さまざまなアラートエンジンからインシデントインテリジェンスに送信されるインシデントイベントについては、最近作成されたアクティブなインシデントを相関させることができます。いずれかの決定の基準が満たされると、2つのイベント間で相関が発生します。

相関に使用できるすべてのイベントは、考えられるすべてのペアの組み合わせで相互にテストされ、「貪欲なマージ」が実行されます。これは、インシデントAがBと相関して問題になり、インシデントBがインシデントCと相関して別の問題になる場合、ABとBCも一緒にマージされることを意味します。これにより、A、B、およびCを含む単一の問題が発生します。

決定にはどのような種類のロジックを使用できますか?

大まかに言えば、決定により、時間(イベント間の期間)、頻度(イベントの数)、コンテキスト(メタデータの構造と値)、およびトポロジー(エンティティーの関係)に基づいてロジックを定義できます。

積極的な決定を確認する

意思決定は、インシデント インテリジェンスがインシデントを相互に関連付ける方法を決定します。既定では、インシデント インテリジェンスの使用を開始すると、広範な一連のグローバルな決定が有効になります。

既存の決定を確認するには:

  1. one.newrelic.comにアクセスし、[アラートとAI ]をクリックします。左側のナビゲーションの[インシデントインテリジェンス]で、[決定]をクリックします。
  2. アクティブな決定のリストを確認します。問題間の相関関係を作成するルールロジックを表示するには、決定をクリックします。
  3. 決定が相関したインシデントの例を表示するには、[最近の相関]タブをクリックします。
  4. 他のオプションのいずれかを使用して、これらのグローバルな決定を有効または無効にします。

あなたの決定は、その有効性やその他のベストプラクティスについて定期的に分析され、レビューのために推奨事項が添付されます。

グローバルな決定

グローバルな意思決定は、さまざまな相関シナリオに対応しています。説明を確認して、ユース ケースに適しているかどうかを判断してください。

決定名

説明

同じ New Relic ターゲット名 (NRQL)

New Relic NRQL違反対象のエンティティ名とNRQLクエリがそれぞれ同じであるため、相関が有効化されました。REST ソースには適用されません。同じNRQL アラート条件からの関連インシデントが特定されます。同じトランザクション クエリの遅延偏差などのインシデントを関連付けるのに役立ちます。

同じ New Relic ターゲット名 (非 NRQL)

New Relicの非NRQL違反のターゲットエンティティ名が同じであるため、相関がアクティブ化されました。REST ソースには適用されません。非 NRQL エンティティはエンティティ、通常は APPLICATION、HOST タイプを指します。エンティティ合成に関する New Relic GitHub リポジトリを参照してください。同じエンティティからの関連するインシデントが識別されます。たとえば、ホストの高メモリ インシデントとホストの非報告インシデントは、同じ原因で発生する可能性が非常に高くなります。

同じ New Relic ターゲット ID

New Relic の非 NRQL 違反のターゲット エンティティ ID が同じであるため、相関が有効になりました。REST ソースには適用されません。エンティティ ID を使用してエンティティ インスタンスを一意に識別します。entity.guidの詳細を確認してください。

同じ New Relic の状態

New Relic の条件 IDが同じであるため、相関が有効になりました。たとえば、関連するサービスで CPU 使用率が増加すると、同じ CPU 使用状況からインシデントがトリガーされるため、特定されます。このロジックは、相関時間ウィンドウを定義する際の条件レベルの粒度と柔軟性により、条件ごとに 1 つの問題に対するアラート ポリシーの問題作成設定オプションを超える価値があります。

同じ New Relic 条件とディープ リンク URL

New Relic の条件 IDとディープ リンクの URL がそれぞれ同じであるため、相関がアクティブになります。ディープ リンク URL は、 アラート条件に加えて、時系列と時間範囲の情報を提供します。これらのインシデントを関連付けることで、時間範囲のメトリックを使用してインシデント対応フローで関連するインシデントを簡単に確認し、詳細な分析を実行できます。インシデントが New Relic アラート条件によってトリガーされた場合、ディープ リンク URL を自動的に生成できますが、REST ソースの場合はdeepLinkUrlをユーザー定義する必要があります。

同じ New Relic の状態とタイトル

New Relicの条件名とタイトルがそれぞれ同じであるため、相関が有効になります。これは、条件に加えてタイトルを比較して、同じアラート メッセージとの関連性がより高いことを明らかにする、洗練されたオプションです。

同じ k8s デプロイメント

kubernetes デプロイメントが同じであるため、相関がアクティブ化されました。多くのインシデントは、単一の展開変更によるものです。この決定は、同じ厄介な kubernetes エンティティの展開からのインシデントを減らすためのものです。

同じアプリケーション名、ポリシー、ID

カスタム アプリケーション名、ポリシー、およびカスタム ID がそれぞれ同じであるため、関連付けがアクティブ化されました。これは、アプリケーション インシデントを減らすためであり、特にカスタム タグのユーザーに対応するためです。タグの詳細については、こちらをご覧ください。カスタム タグ ID は、データ間の接続を識別するためのキーとして使用される条件ファミリ ID またはその他の ID 値によって定義できます。

同様の警告メッセージ

インシデントのタイトルが類似しており、同じエンティティからのものであるため、関連付けがアクティブ化されました。これは、同様のアラート条件によって引き起こされる同じエンティティからのインシデントを減らすためです。

同じ安全な資格情報、パブリックの場所、およびタイプ

セキュリティで保護された資格情報、パブリックの場所、およびカスタム タイプがそれぞれ同じであるため、関連付けがアクティブ化されました。これは、同じ地理的位置/地域からのインシデントを、通常は単一の根本原因によってトリガーされる同じセキュリティ資格情報と関連付けるためです (例:シンセティックは失敗を監視します)、同じ解決策で対処できる可能性が非常に高いです。この決定を利用するには、 タグを追加してください。

類似の問題構造

両方のインシデントが同様の属性構造とデータ コンテンツを持っているため、相関がアクティブ化されました。これはクラスタリングのより単純なバージョンであり、高度に関連する問題を軽減するために行列計算に高度な類似性アルゴリズムを採用しています。

トポロジ依存

依存関係を持つインスタンスからインシデントが生成されるため、相関がアクティブになります。すぐに使用できるトポロジ相関の詳細については、こちらを参照してください

相関統計

パターン認識アルゴリズムを使用して提供された提案された決定を使用する場合でも、独自の相関ロジックを追加する場合でも、相関率、ノイズリダクションの改善、および発生する相関問題の数に関する洞察を得ることができます。

UIから、基になるNRQLクエリを表示し、このデータから独自のカスタムチャートとダッシュボードを作成できます。

one.newrelic.com >アプライドインテリジェンス>インシデントインテリジェンス>意思決定:意思決定UIからの統計の例。

統計のいくつかの定義:

  • 相関率:時間相関が発生している時間と発生していない時間の割合。
  • 相関する問題の総数:別の問題と相関する問題の数。
  • ノイズリダクション:相関後の問題の総数を相関前の問題の総数で割ったもの。
  • 相関の理由:どの決定が問題を最も相関させているかを示します。

提案された決定を使用する

提案された決定の種類に関する情報:

  • 推奨される決定:選択したソースからのデータは、ノイズを減らすのに役立つパターンについて継続的に検査されます。データでパターンが観察されたら、これらのイベントを将来相関させることができる決定が提案されます。
  • 提案された決定の加速:アラートをしばらく使用している場合、ソースにアラートポリシーを追加すると、その履歴データを使用してパターン認識ステップを加速し、決定を最大30%速く提案できます。

開始するには、[決定]UIページの統計ブロックの下にある提案された決定をクリックします。提案された決定の背後にあるロジック、それが役立つと思われる理由、およびその決定の推定相関率に関する情報が表示されます。

one.newrelic.com >応用インテリジェンス>インシデントインテリジェンス>決定:提案された決定ブロック。

相関率を確認するのに十分なデータがない場合は、パーセンテージの見積もりの下にあるリンクから、より強力な結果を得るために追加できる他のソースに移動できます。 1か月あたりのインシデント数が5000未満の場合、おそらく決定を提案することはありません。

提案された決定を有効にするには、[決定をアクティブ化]をクリックします。決定がニーズに関連していない場合は、[却下]をクリックします。

カスタム決定を作成する

独自のカスタム決定を作成することにより、ノイズを減らし、相関を改善できます。決定の作成を開始するには、 one.newrelic.comにアクセスし、[ Alerts&AI ]をクリックします。左側のナビゲーションの[インシデントインテリジェンス]で、[決定]をクリックし、[決定の追加]をクリックします。

決定を作成する場合、ステップ1、2、および3はそれ自体がオプションですが、決定を作成するには少なくとも1つを定義する必要があります。

オプション

説明

ステップ1:データをフィルタリングする(オプション)

このステップでは、フィルターを定義します。 2つのインシデント間で相関が発生することを忘れないでください。フィルタが定義されていない場合、すべての着信インシデントが決定によって考慮されます。

インシデントの最初のセグメント(またはバケット)とインシデントの2番目のセグメントのフィルターを定義します。フィルタ演算子の種類は、サブストリングマッチングから正規表現マッチングまでさまざまであり、必要なインシデントイベントをターゲットにして、不要なイベントを除外するのに役立ちます。

セグメント1とセグメント2の間のイベントペアのすべての組み合わせは、決定の次のステップで使用されます。

ステップ2:コンテキストを関連付ける(オプション)

データをフィルタリングしたら、インシデントのコンテキストを比較するときに使用するロジックを定義します。次の方法に基づいてイベントを相互に関連付けることができます。

ステップ3:トポロジーを関連付ける(オプション)

自動トポロジ相関の場合、テレメトリデータがNewRelicエージェントによって収集されていることを確認してください。すぐに使用できるトポロジ相関の詳細をご覧ください。

さらに、NerdGraph aiTopologyCollectorを介してトポロジデータを設定できます。 ( NerdGraph GraphiQLエクスプローラーaiTopologyを検索します)。これにより、トポロジ関連の決定をトポロジデータと一致させることができます。トポロジ相関の設定の詳細をご覧ください。

ステップ4:名前を付けます

決定ロジックを構成したら、わかりやすい名前と説明を付けます。これは、通知やUIの他の領域で使用され、どの決定によって1組のインシデントが相互に関連付けられたかを示します。

ステップ5:詳細設定を使用する(オプション)

オプション。詳細設定領域を使用して、イベントを関連付けるときの決定の動作をさらにカスタマイズします。各設定にはデフォルト値があるため、カスタマイズはオプションです。

  • 時間枠:2つのインシデント間の最大時間を設定して、それらが相関の対象となる時間を作成します。
  • 問題の優先度:インシデントが相関している場合、デフォルトの優先度設定( inherit priority )をオーバーライドして、より高いまたはより低い優先度を追加します。
  • 頻度:トリガーする決定のためにルールロジックを満たす必要があるインシデントの最小数を変更します。
  • 類似性:ルールロジックでsimilar to演算子を使用している場合は、アルゴリズムのリストから選択して、その感度を設定できます。これは、決定のすべてのsimilar toオペレーターに適用されます。

類似性アルゴリズム

使用する類似性アルゴリズムの技術的な詳細は次のとおりです。

正規表現演算子

決定を下す際に利用できるオペレーターは次のとおりです。

意思決定ビルダーは、正規表現についてこれらのドキュメントで概説されている標準に従います。

ステップ1の正規表現

正規表現がtrueとしてテストされるためには、属性値全体(評価しているデータ)が、提供された正規表現と一致している必要があります。キャプチャされたグループは使用できますが、明示的に評価されません。

たとえば、属性値がfoobarbazの場合、これらの例は基準を満たし、trueとしてテストされます。

  • foo.*
  • ^.*baz
  • \w+

ステップ2の正規表現

正規表現がtrueとしてテストされるためには、インシデント1とインシデント2の属性値全体が一致に含まれている必要があります。また、キャプチャされた各グループ( ( )の括弧内の式)は両方の値(インシデント1とインシデント2の属性)に存在し、同じ値を持っている必要があります。

  • キャプチャされたグループの数は、両方のインシデント属性で等しくなければなりません。
  • 各グループは、属性値間の対応するグループと等しくなければなりません。インシデント1属性値の最初にキャプチャされたグループの値は、インシデント2属性の最初にキャプチャされたグループの値と等しくなります。

たとえば、属性値1がabc-123-xyzで、属性値2がabc-777-xyzの場合、 (\w+)-(?:\w+)-(\w+)は次の基準を満たします。

  • 値全体が式と一致します。
  • 1番目と3番目のキャプチャされたグループは、それぞれ同じ値を持ちます。
  • 2番目のグループは?:を使用してキャプチャされません。これにより、値全体を一致させることができますが、キャプチャグループの比較には使用されません。

フラグについて

デフォルトではフラグは有効になっていません。意思決定ビルダーの正規表現に含めるのに役立つフラグは次のとおりです。

  • CASE_INSENSITIVE:(?i)
  • マルチライン:(?m)
  • ドット:(?s)

これらの各フラグの機能と実装に関する詳細については、 Oracleのフィールド詳細ドキュメントを参照してください。

相関アシスタント

相関アシスタントを使用すると、 インシデントをより迅速に分析し、決定ロジックを作成し、シミュレーションでロジックをテストできます。相関アシスタントを使用するには:

  1. one.newrelic.comから、[ Alerts&AI ]、[ Issues&Activity ]、[ Incidents ]タブの順にクリックします。
  2. 関連付けたいインシデントのチェックボックスをオンにします。次に、インシデントリストの下部にある[インシデントの相関]をクリックします。
  3. インシデントを相関させるための最良の結果を得るには、頻度の割合が低い共通の属性を選択してください。周波数の使用についての詳細をご覧ください
  4. [シミュレーション]をクリックして、データの最後の週に対する新しい決定の予想される影響を確認します。
  5. 相関ペアの例をクリックして、使用する相関を決定します。
  6. シミュレートされたものが気に入った場合は、[次へ]をクリックして、決定に名前を付けて説明します。
  7. シミュレーション結果に潜在的なインシデントが多すぎる場合は、決定のために別の属性とインシデントのセットを選択して、別のシミュレーションを実行することをお勧めします。シミュレーションの詳細をご覧ください

属性分析

UIには次の2種類の属性分析が表示されます。

  • 共通の属性:この分析では、選択したすべてのインシデント間でまったく同じ属性と値を強調表示します。

  • 類似属性:類似性分析では、距離3のレーベンシュタインアルゴリズムを使用して、3回以下の文字変更が実行された場合に値が同じになる属性を見つけます。

    • 数値と1文字の値は、結果から除外されます。
    • 2つのインシデントを選択する必要があります。 3つ以上のインシデントが選択された場合、類似性分析は実行されません。

最良の決定を下すために、インシデントの頻度が低い共通の属性を選択することをお勧めします。低頻度または高頻度の属性の選択が決定にどのように影響するかを理解するためのヒントを次に示します。

  • 低頻度:例として、頻度列に0%が含まれる属性は、一意の識別子であるか、先月のデータで最近報告されたばかりの属性である可能性があります。低頻度の属性を選択すると、いくつかのイベントが相関する場合があります。
  • 高頻度:一方、100%の頻度の属性は、すべてのデータに存在する属性になります。これらの属性を選択すると、すべてのイベントが相互に関連付けられます。

デフォルトでは、属性は頻度でソートされ、最も頻度の低い属性が一番上に表示されます。属性の頻度のパーセンテージをクリックして、先月その属性について報告された値の分布に関する詳細情報を取得します。

シミュレーションの使用に関するヒント

一連のインシデントを使用して、相関アシスタントは、それらのインシデントに共通する属性と、同様の値を持つ属性を識別します。イベントが相関する必要があると思われる属性を選択し、決定をシミュレートします。シミュレーションは、データの最後の週に対してロジックをテストし、検査する実際の例に加えて、発生した相関の数を示します。

シミュレーションが良さそうな場合は、実際の決定を作成し続けます。シミュレーションに有用な相関関係の例が表示されない場合は、別の属性セットを選択して、シミュレーションを再実行してください。

シミュレーションの作成時に表示される決定プレビュー情報の内訳は次のとおりです。

  • 潜在的な相関率:この決定が影響を与えたであろうテストされたインシデントのパーセンテージ。
  • 作成されたインシデントの総数:この決定によってテストされたインシデントの数。
  • 相関するインシデントの推定総数:この決定が相関するであろうインシデントの推定数。
  • インシデントの例:この決定が相関していると思われるインシデントペアのリスト。これらをクリックすると、すべての属性と値を並べて比較し、相関が必要かどうかを判断するのに役立ちます。

希望する結果が表示されるまで、さまざまな属性を使用してシミュレーションを必要な回数だけ実行します。準備ができたら、UIプロンプトに従って決定を保存します。

トポロジー相関

トポロジーとはどういう意味ですか? New Relicの適用されたインテリジェンスの場合、トポロジはサービスマップの表現です。つまり、インフラストラクチャ内のサービスとリソースが相互にどのように関連しているかです。

決定ユーザーの場合、デフォルトのトポロジー決定がアカウントに追加され、有効になります。カスタム決定を作成するオプションもあります。

トポロジ相関は、インシデントソース間の関係を見つけて、 インシデントを相関させる必要があるかどうかを判断します。トポロジ相関は、相関の品質とそれらが検出される速度を向上させるように設計されています。

要件

自動トポロジ相関(トポロジグラフを明示的に設定する必要なし)の場合、テレメトリデータがNewRelicエージェントによって収集されていることを確認してください。サービスと環境にインストールされるNewRelicエージェントの種類が多いほど、インシデントを関連付けるためのトポロジ決定の機会が増えます。

トポロジー相関はどのように機能しますか?

このサービスマップでは、ホストとアプリが頂点であり、それらの関係を示す線がエッジです。

New Relicエージェントによって収集されたエンティティと関係に加えてトポロジを設定するには、 NerdGraphAPIを使用します。

カスタマイズされたトポロジ相関は、2つの主要な概念に依存しています。

  • 頂点:頂点は監視対象エンティティを表します。これは、インシデントイベントが発生している、または問題のある症状を説明しているソースです。頂点には、エンティティGUIDやその他のIDなどの属性(キーと値のペア)が構成されており、着信インシデントイベントに関連付けることができます。
  • エッジ:エッジは、2つの頂点間の接続です。エッジは、頂点間の関係を表します。

トポロジを使用してインシデントを関連付ける方法を理解すると役立つ場合があります。

  1. まず、NewRelicは関連するすべてのインシデントを収集します。これには、決定ロジックのステップ1と2が真であり、詳細設定で定義された時間枠内にあるインシデントが含まれます。

    この例では、点線の選択のすべてのインシデントがこれらの要件を満たしています。ステップ1と2で決定ロジックを通過し、決定ロジックのステップ2で行われたすべてのコンテキスト比較が真です。

  2. 次に、頂点の定義属性とインシデントで使用可能な属性を使用して、各インシデントをトポロジグラフの頂点に関連付けようとします。

    インシデントをトポロジグラフの情報に関連付ける手順の例を次に示します。

  3. 次に、インシデントに関連付けられた頂点のペアが、「トポロジ的に依存する」演算子を使用してテストされ、これらの頂点が相互に接続されているかどうかが判断されます。この演算子は、5ホップ内で2つの頂点を接続するパスがグラフにあるかどうかを確認します。

    次に、インシデントが相互に関連付けられ、問題がマージされます。

インシデントイベントに属性を追加する

インシデントは、頂点の定義属性を使用して頂点に接続されます。 (トポロジで説明されているトポロジの例では、各頂点に一意の値を持つ定義属性「CID」があります。)次に、適用されたインテリジェンスは、属性に一致する頂点を見つけます。

頂点で使用する定義属性がまだインシデントイベントにない場合は、次のいずれかのオプションを使用して追加します。

  • New Relicでエンティティにタグを付ける:エンティティにタグを付けることで、これらのタグはアラートによって生成されるインシデントイベントを強化します。たとえば、エンティティにCIDとそれに対応する一意の値のタグを付けた場合、次のように頂点に属性を定義できます。 'newrelic/tags/CID' : CID_VALUE
  • データのファセット: 1つ以上のファセットを定義してNRQLアラート条件を作成すると、属性ごとにデータがグループ化されます。また、発行されたインシデントイベントは、これらの属性と値で強化されます。インシデントの場合、ファセット属性は同じ形式に従います。 newrelic/tags/ATTRIBUTE_NAME

トポロジを作成または表示する

トポロジを設定したり、既存のトポロジを表示したりするには、 NerdGraphトポロジのチュートリアルを参照してください。

Copyright © 2022 New Relic株式会社。

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.