応用インテリジェンスの相関ロジックを使用して、関連する問題がグループ化され、気が散る冗長なアラートが削減されます。イベントがシステムに入ると、相関ロジックの対象となります。適格な問題は、時間、アラート コンテキスト、関係データに基づいて評価されます。複数の問題が関連している場合、相関ロジックにより、関連するインシデントが 1 つの包括的な 問題にまとめられます。
これを相関ロジック決定と呼びます。組み込みの決定がありますが、決定ページで独自の決定を作成してカスタマイズすることもできます。決定ページを見つけるには、 one.newrelic.com > Alerts & AI > Decisionsに移動します。ニーズに合わせて決定を構成すればするほど、New Relic はインシデントをより適切に関連付け、ノイズを減らし、オンコール チームにより多くのコンテキストを提供できるようになります。
one.newrelic.com > 応用インテリジェンス > インシデント インテリジェンス > 決定: UI は、各決定がインシデントとどのように相関しているかを示します。
相関関係とは何ですか? また、どのように機能しますか?
最新のアクティブなインシデントは、相関ロジックで利用できます。たとえば、オーストラリアとロンドンで合成モニターが失敗しているという 2 つのアラートをシステムが受信したとします。これら 2 つのアラートは、独自のインシデントを作成します。これらのインシデントは、チームの既存のインシデント作成ポリシーに基づいて独自の問題を生成します。次に、New Relic の相関ロジックがこれらのインシデントを相互にテストして、類似点を見つけます。この場合、複数の場所で失敗しているのは同じモニターであるため、New Relic は両方のインシデントを、関連する各イベントを含む単一の問題にマージします。
イベントを相互に関連付ける場合、組み合わせのすべてのペアを相互にチェックし、可能な限り組み合わせます。例えば:
- 私たちのアルゴリズムは、インシデント A と B を関連付けます (「AB」と呼びます)。
- 私たちのアルゴリズムはインシデント B と C を関連付けます (「BC」と呼びます)。
- B は両方の問題に存在するため、アルゴリズムは 3 つのインシデントすべてを 1 つの問題に関連付けます。
相関ポリシーを構成する
アラートベースの問題の関連付けを有効にするには、それぞれのアラート ポリシーの関連付けに接続する必要があります。
[相関してノイズを抑制する]ボックスをオンにして、アラート ポリシーの相関を有効にします。
決定の種類
意思決定は、インシデント インテリジェンスが問題を相互に関連付ける方法を決定します。New Relic の相関ロジックは、次の 3 つの異なる意思決定タイプでチームが利用できます。
- グローバル決定: 適用インテリジェンスの使用を開始すると、幅広い既定の決定が自動的に有効になります。
- 提案された決定: New Relic の相関エンジンは、イベント データを常に評価して、相関パターンをキャプチャしてノイズを削減する決定を提案します。提案された決定のシミュレーション結果をプレビューし、アクティブ化することを選択できます。
- カスタム決定: チームは、ユース ケースに基づいて決定をカスタマイズして、相関の有効性を高めることができます。New Relic の意思決定 UI では、意思決定のすべてのディメンションを柔軟に構成できます。
積極的な決定を確認する
チームの既存の決定を確認するには:
- one.newrelic.com > Alerts & AI > Incident Intelligence > Decisionsに移動します。
- アクティブな決定のリストを確認します。問題間の相関関係を作成するルールロジックを表示するには、決定をクリックします。
- 決定が相関したインシデントの例を表示するには、[最近の相関]タブをクリックします。
- これらのグローバル決定を有効または無効にするオプションがあります。
ソースの構成
意思決定を構成する前に、関連付けるソースを決定することが重要です。ソースはデータ入力です。
以下のいずれかのソースからデータを得ることができます。
グローバルな決定
チームが応用インテリジェンスの使用を開始すると、グローバルな意思決定が自動的に有効になります。構成は不要で、チームですぐに利用できます。グローバルな意思決定は、さまざまな相関シナリオに対応しています。
次の表は、自動的に有効になるすべてのグローバル決定の説明を示しています。
決定名 | 説明 |
|---|---|
同じ New Relic ターゲット名 (NRQL) | New Relic NRQL違反対象のエンティティ名とNRQLクエリが同じであるため、相関が有効になります。同じNRQL アラート条件からの関連イベントが識別されます。この決定は、たとえば、同じトランザクション クエリ レイテンシの偏差を持つ問題を関連付けるのに役立ちます。 |
同じ New Relic ターゲット名 (非 NRQL) | New Relicの非NRQL違反対象のエンティティ名が同じであるため、相関が有効になります。REST ソースには適用されません。非 NRQL エンティティはエンティティ、通常は APPLICATION、HOST タイプを指します。エンティティ合成に関する New Relic GitHub リポジトリを参照してください。この決定により、同じエンティティからの関連する問題が特定されます。たとえば、ホストのメモリ使用量が多い問題とホストが報告しない問題は、同じ原因で発生する可能性が非常に高くなります。 |
同じ New Relic ターゲット ID | New Relicの非NRQL違反対象のエンティティIDが同じであるため、相関が有効になります。REST ソースには適用されません。エンティティ ID を使用してエンティティ インスタンスを一意に識別します。entity.guidの詳細を確認してください。 |
同じ New Relic の状態 | New Relic の条件 IDが同じであるため、相関が有効になります。たとえば、関連するサービスで CPU 使用率が増加すると、同じ CPU 使用状況からインシデントがトリガーされるため、特定されます。このロジックは、相関時間ウィンドウを定義する際の条件レベルの粒度と柔軟性により、条件ごとに 1 つの問題に対するアラート ポリシーの問題作成設定オプションを超える価値があります。 |
同じ New Relic 条件とディープ リンク URL | New Relic の条件 IDとディープ リンクの URL が同じであるため、相関が有効になりました。ディープ リンク URL は、 アラート条件に加えて、時系列と時間範囲の情報を提供します。これらの問題を関連付けることで、時間範囲のメトリックを使用してインシデント対応フローで関連するインシデントを簡単に確認し、詳細な分析を実行できます。インシデントが New Relic アラート条件によってトリガーされた場合、ディープ リンク URL を自動的に生成できますが、REST ソースの場合はdeepLinkUrlをユーザー定義する必要があります。 |
同じ New Relic の状態とタイトル | New Relic の条件名とタイトルが同じであるため、相関が有効になります。これは、条件に加えてタイトルを比較して、同じアラート メッセージとの関連性がより高いことを明らかにする、洗練されたオプションです。 |
同じ k8s デプロイメント | kubernetes デプロイメントが同じであるため、相関ロジックがアクティブ化されます。多くのインシデントは、単一の展開変更によるものです。この決定は、同じ厄介な Kubernetes エンティティの展開からの問題を軽減するためのものです。 |
同じアプリケーション名、ポリシー、ID | カスタム アプリケーション名、ポリシー、およびカスタム ID が同じであるため、相関ロジックがアクティブ化されます。アプリケーションの問題を軽減するために、これらの要素と問題を関連付けます。特に、カスタム タグのユーザーに対応します。タグの詳細については、こちらをご覧ください。カスタム タグ ID は、データ間の接続を識別するためのキーとして使用される条件ファミリ ID またはその他の ID 値によって定義できます。 |
同様の警告メッセージ | インシデントのタイトルが類似しており、同じエンティティからのものであるため、関連付けがアクティブ化されました。これは、同様のアラート条件によって引き起こされる同じエンティティからの問題を減らすためです。 |
同じ安全な資格情報、パブリックの場所、およびタイプ | セキュリティで保護された資格情報、パブリックの場所、およびカスタム タイプがそれぞれ同じであるため、関連付けがアクティブ化されました。これは、同じ地理的位置/地域からの問題を、通常は単一の根本原因によってトリガーされる同じセキュリティ資格情報と関連付けるためです (例:シンセティックは失敗を監視します)、同じ解決策で対処できる可能性が非常に高いです。この決定を利用するには、 タグを追加してください。 |
類似の問題構造 | 両方のインシデントが同様の属性構造とデータ コンテンツを持っているため、相関がアクティブ化されました。これはクラスタリングのより単純なバージョンであり、高度に関連する問題を軽減するために行列計算に高度な類似性アルゴリズムを採用しています。 |
トポロジ依存 | 依存関係を持つインスタンスからインシデントが生成されるため、相関がアクティブになります。すぐに使用できるトポロジ相関の詳細については、こちらを参照してください。 |
提案された決定を使用する
選択したソースからのデータは、ノイズの削減に役立つパターンについて継続的に検査されます。データでパターンが観察されると、相関ロジックは、これらのタイプのイベントが将来相関することを可能にする独自の決定を提案します。
開始するには、 Decisions UI ページのトピックでSuggested decisionタブをクリックします。提案された各決定をクリックすると、提案された決定の背後にあるロジックと推定相関率を確認できます。
one.newrelic.com > 応用インテリジェンス > インシデント インテリジェンス > 決定: 決定 UI からの統計の例。
提案された決定を有効にするには、 [決定に追加]をクリックします。アクティブ化すると、決定がチームのメイン決定表に表示されます。提案された決定はすべて、作成者に New Relic AI として表示されます。
提案された決定がニーズに合わない場合は、[却下] をクリックします。
カスタム決定を作成する
独自のカスタム決定を作成することで、ノイズを減らし、相関を改善できます。決定の作成を開始するには、 one.newrelic.com > Alerts & AI Alerts & AI > Correlate > Decisionsに移動し、 Add a decisionをクリックします。
ロジック フィルター: 属性の演算子で定義されたロジック条件。セグメント: インシデントのグループは、ロジック フィルターの組み合わせを満たします。
ヒント
独自のカスタム決定を作成するには、次の手順を実行します。ステップ 1、2、および 3 はそれ自体はオプションですが、意思決定を作成するには、3 つのうち少なくとも 1 つを定義する必要があることに注意してください。
ステップ1:データをフィルタリングする
相関関係は、任意の 2 つのインシデント間に発生します。フィルターが定義されていない場合、すべての着信インシデントが決定によって考慮されます。ニーズに合わせて決定を構成すればするほど、New Relic はインシデントをより適切に関連付け、ノイズを減らし、オンコール チームにより多くのコンテキストを提供できるようになります。
チームは、インシデントの最初のセグメントとインシデントの 2 番目のセグメントのフィルターを定義できます。フィルター演算子は、部分文字列の一致から正規表現の一致までさまざまで、必要なインシデント イベントを対象にして、不要なイベントを除外するのに役立ちます。
one.newrelic.com > 応用インテリジェンス > インシデントインテリジェンス > 決定: 提案された決定ブロック。
ステップ 2: コンテキストを関連付ける
データをフィルタリングしたら、インシデントのコンテキストを比較するときに使用するロジックを定義します。次の方法に基づいてイベントを相互に関連付けることができます。
- 標準演算子との属性値の比較
- 類似性アルゴリズムを使用した属性値の類似性
- キャプチャグループを使用した属性値の正規表現
- 類似性またはクラスタリングアルゴリズムを使用したインシデント全体の比較
[プレビュー] をクリックして、現在の決定ロジックのシミュレーションされた相関効率 (最近のインシデントから) を表示します。
ステップ 3: トポロジ相関を適用する
自動トポロジ相関の場合、テレメトリデータがNewRelicエージェントによって収集されていることを確認してください。すぐに使用できるトポロジ相関の詳細をご覧ください。
さらに、NerdGraph aiTopologyCollectorを介してトポロジ データをセットアップできます。( NerdGraph GraphiQL エクスプローラーでaiTopologyを検索します)。これにより、トポロジ関連の決定をトポロジ データと一致させることができます。トポロジ相関の設定の詳細については、こちらをご覧ください。
ページの右側にある [ロジック] タブをクリックすると、作成した意思決定ロジックの概要が表示されます。
ステップ 4: 決定に名前を付ける
決定ロジックを構成したら、わかりやすい名前と説明を付けます。
ヒント: プライバシー フットプリントを最小限に抑えることができます。これらのオープン テキスト フィールドに機密情報や個人情報を追加しないでください。
これは、通知や UI の他の領域で使用され、インシデントのペアが相互に関連付けられた原因となった決定を示します。次のステップでデフォルトの詳細設定を更新しない場合は、[意思決定の作成] をクリックして作成を完了します。
ステップ 5: 詳細設定を使用する
詳細設定領域を使用して、イベントを関連付けるときの決定の動作をさらにカスタマイズします。各設定にはデフォルト値があるため、カスタマイズはオプションです。
- 時間枠:2つのインシデント間の最大時間を設定して、それらが相関の対象となる時間を作成します。
- 問題の優先度:インシデントが相関している場合、デフォルトの優先度設定(
inherit priority)をオーバーライドして、より高いまたはより低い優先度を追加します。 - 頻度:トリガーする決定のためにルールロジックを満たす必要があるインシデントの最小数を変更します。
- 類似性:ルールロジックで
similar to演算子を使用している場合は、アルゴリズムのリストから選択して、その感度を設定できます。これは、決定のすべてのsimilar toオペレーターに適用されます。
論理演算子
Decision は、インシデントの属性値がロジック フィルターでどのように評価されるかを柔軟に定義するのに役立つ一連の演算子を提供します。基本的なものはequals 、 contains 、 starts with 、 end with 、 exists 、およびそれに応じた否定演算子です。たとえば、と等しくありません。
に類似した類似性演算子があり、この演算子に対して基礎となる類似性アルゴリズムを指定できます。デフォルトでは、レーベンシュタイン距離が使用されます。
contains (regex)演算子を使用すると、正規表現条件を定義できます。任意のデータ値と一致させるのに強力です。
類似性アルゴリズム
使用する類似性アルゴリズムの技術的な詳細は次のとおりです。
正規表現演算子
decision を構築する場合、使用可能な演算子は次のとおりです。
contains (regex):ステップ1で使用:データをフィルタリングします。regular expression match:ステップ2で使用:コンテキスト相関。
意思決定ビルダーは、正規表現についてこれらのドキュメントで概説されている標準に従います。
相関アシスタント
相関アシスタントを使用すると、より迅速にインシデントを分析し、意思決定ロジックを作成し、シミュレーションでロジックをテストできます。相関アシスタントを使用するには:
- one.newrelic.com > Alerts & AI > Issues & Activity > Incidentsタブに移動します。
- 関連付けたいインシデントのチェックボックスをオンにします。次に、インシデントリストの下部にある[インシデントの相関]をクリックします。
- インシデントを相関させるための最良の結果を得るには、頻度の割合が低い共通の属性を選択してください。周波数の使用についての詳細をご覧ください。
- [シミュレーション]をクリックして、データの最後の週に対する新しい決定の予想される影響を確認します。
- 相関ペアの例をクリックして、使用する相関を決定します。
- シミュレートされたものが気に入った場合は、[次へ]をクリックして、決定に名前を付けて説明します。
- シミュレーション結果に潜在的なインシデントが多すぎることが示されている場合は、決定のために別の属性とインシデントのセットを選択し、別のシミュレーションを実行することをお勧めします。シミュレーションの詳細をご覧ください。
シミュレーションの使用
シミュレーションは、先週のデータに対してロジックをテストし、発生した相関の数を示します。シミュレーション時に表示される決定プレビュー情報の内訳は次のとおりです。
- 潜在的な相関率:この決定が影響を与えたであろうテストされたインシデントのパーセンテージ。
- 作成されたインシデントの総数:この決定によってテストされたインシデントの数。
- 相関するインシデントの推定総数:この決定が相関するであろうインシデントの推定数。
- インシデントの例:この決定が相関していると思われるインシデントペアのリスト。これらをクリックすると、すべての属性と値を並べて比較し、相関が必要かどうかを判断するのに役立ちます。
希望する結果が表示されるまで、さまざまな属性を使用してシミュレーションを必要な回数だけ実行します。準備ができたら、UIプロンプトに従って決定を保存します。
トポロジー相関
New Relic の応用インテリジェンスの場合、トポロジーはサービス マップの表現です。つまり、インフラストラクチャ内のサービスとリソースが互いにどのように関係しているかです。
決定ユーザーの場合、デフォルトのトポロジ決定が追加され、アカウントで有効になります。カスタム決定を作成するオプションもあります。
当社のトポロジ相関は、インシデント ソース間の関係を見つけて、 インシデントとそれぞれの問題が相関するかどうかを判断します。トポロジ相関は、相関の品質と検出速度を向上させるように設計されています。
要件
自動トポロジ相関(トポロジグラフを明示的に設定する必要なし)の場合、テレメトリデータがNewRelicエージェントによって収集されていることを確認してください。サービスと環境にインストールされるNewRelicエージェントの種類が多いほど、インシデントを関連付けるためのトポロジ決定の機会が増えます。
トポロジー相関はどのように機能しますか?
このサービスマップでは、ホストとアプリが頂点であり、それらの関係を示す線がエッジです。
New Relicエージェントによって収集されたエンティティと関係に加えてトポロジを設定するには、 NerdGraphAPIを使用します。
カスタマイズされたトポロジ相関は、2つの主要な概念に依存しています。
- 頂点:頂点は監視対象エンティティを表します。これは、インシデントイベントが発生している、または問題のある症状を説明しているソースです。頂点には、エンティティGUIDやその他のIDなどの属性(キーと値のペア)が構成されており、着信インシデントイベントに関連付けることができます。
- エッジ:エッジは、2つの頂点間の接続です。エッジは、頂点間の関係を表します。
トポロジを使用してインシデントを関連付ける方法を理解すると役立つ場合があります。
まず、NewRelicは関連するすべてのインシデントを収集します。これには、決定ロジックのステップ1と2が真であり、詳細設定で定義された時間枠内にあるインシデントが含まれます。
次に、頂点の定義属性とインシデントで使用可能な属性を使用して、各インシデントをトポロジグラフの頂点に関連付けようとします。
インシデントをトポロジ グラフの情報に関連付ける手順の例。
次に、インシデントに関連付けられた頂点のペアが、「トポロジー依存」演算子を使用してテストされ、これらの頂点が互いに接続されているかどうかが判断されます。
この演算子は、2 つの頂点を 5 ホップ以内で接続するパスがグラフ内にあるかどうかを確認します。
次に、インシデントが相互に関連付けられ、問題がマージされます。
インシデントイベントに属性を追加する
インシデントは、頂点の定義属性を使用して頂点に接続されます。 (トポロジで説明されているトポロジの例では、各頂点に一意の値を持つ定義属性「CID」があります。)次に、適用されたインテリジェンスは、属性に一致する頂点を見つけます。
頂点で使用する定義属性がまだインシデントイベントにない場合は、次のいずれかのオプションを使用して追加します。
トポロジを作成または表示する
トポロジを設定したり、既存のトポロジを表示したりするには、 NerdGraphトポロジのチュートリアルを参照してください。