アラートの品質を管理する

チームが受信するアラートが多すぎる場合、または誤ったアラームが多すぎる場合、アラート疲労が発生し始めます。いずれかの要因が増加すると、その疲労は深刻な悪影響を及ぼし始めます。圧倒されたインシデント対応担当者は、誤ったアラートに慣れ、より深刻な問題ではなく、迅速に解決するのが簡単なアラートを優先します。さらに悪いことに、応答時間の目標内に収めるために、未解決のインシデントを単純にクローズし始めることがよくあります。これは、インシデントへの対応時間や重大な停止の発生が増加する一方で、実際のアラートがノイズの中に紛れてしまうことを意味します。

アラート疲れを直し、将来的に再発しないようにするには、アラートの質を向上させる必要があります。集計品質管理 (AQM) ポリシーを採用すると、不要なインシデントの数を減らすことに重点が置かれ、ビジネスに真の影響を与えるのみに集中できるようになります。これによりアラート疲労が軽減され、あなたとあなたのチームが適切なタイミングで適切な場所に注意を集中できるようになります。

次の場合、あなたはAQMの有力候補です。

アラートの数が多すぎます。
長時間開いたままのアラートがある。
関連性のないアラートがたくさんあります。
モニタリングツールが発見する前に、お客様が問題を発見する。

ヒント

これをアカウントに実装し始める前に、実践的な学習アプローチを試してみませんか?アラート品質管理ラボを確認してください。

アラート品質管理を使用する理由は何ですか?

アラート品質管理に基づいたプラクティスを採用すると、応答時間が短縮され、重要なイベントに対する認識が高まります。アラートの信号対雑音比を改善すると、混乱が軽減され、問題の根本原因を迅速に特定して切り分けることができます。目標は、価値の低いアラートを削減しながら、より価値の高いインシデントが発生したときを識別する簡単な方法を作成することです。その結果、次のような結果が得られます。

稼働時間と可用性の向上。
平均解決時間 (MTTR) の短縮。
アラートの音量が減少しました。
価値のないアラートを簡単に識別できるので、価値のあるものにするか、削除することができます。

重要業績評価指標の使用

適切な主要業績評価指標 (KPI) を使用すると、最もノイズが多く価値の低いアラートを見つけて、その価値を向上させたり削除したりすることができます。AQM プロセスを使用してインシデントの量とエンゲージメント KPI を収集および測定し、それらを使用して傾向を特定し、深刻な問題を引き起こす問題を修正します。以下に、すべての KPI に関する情報と、New Relic UI のどこからでも監視できるようにする各 KPI の NRQL クエリを示します。

インシデント量

インシデントは (アラートの有無にかかわらず) タスクのキューのように扱う必要があります。キューと同様に、アラートの数は常に可能な限りゼロに近づける必要があります。各インシデントは、状態を解決するために調査または是正措置を開始する必要があります。アラートによって何らかのアクションが発生しない場合は、アラート条件の値を疑問視する必要があります。

特に、特定のインシデントが頻繁に発生する場合は、意味のある影響を与える継続的な状態にあるのか、それとも単に大量のノイズが発生しているだけなのかを疑う必要があります。インシデント量 KPI は、これらの質問に答え、高品質のアラートの健全な状態に向けた進捗状況を測定するのに役立ちます。

これは、一定期間に発生したインシデントの数です。通常は、現在の週と前の週を比較する必要があります。

Goal: 価値の低い迷惑なインシデントの数を減らします。

Best practices:

条件設定が実際のビジネスインパクトを検出するためのものであることを確認する。
条件設定が異常な動作を検出していることを確認してください。
インシデントの詳細 Acknowledge 機能を使用すると、アラートの価値を測定できます。インシデント確認率 KPI を参照してください。
AQMのKPIをすべてのステークホルダーに報告する。
```
FROM NrAiIncident SELECT count(*) AS 'Incident Count' WHERE event = 'open' AND priority = 'critical' SINCE 1 WEEK AGO COMPARE WITH 1 WEEK AGO
```

これは、一定期間におけるすべてのインシデントの合計時間 (分) です。通常は、現在の週と前の週を比較する必要があります。

Goal: インシデントの合計累積時間を短縮します。

Best practices:

インシデントを手動でクローズしないでください。手動でクローズすると、この KPI の精度が損なわれる可能性があります。
受信者からの修復アクションが発生しないアラートを削除します。
検出とレスポンスタイムの改善における重要性を伝えることで、
percent investigated
と
mean-time-to-investigate
KPI を改善します。

AQMのKPIをすべてのステークホルダーに報告する。

FROM NrAiIncident SELECT sum(durationSeconds)/60 AS 'Incident Minutes' WHERE event = 'close' AND priority = 'critical' SINCE 1 WEEK AGO COMPARE WITH 1 WEEK AGO

これは、測定期間内のインシデントの平均継続時間です。この数値はできるだけ低くする必要があります。

Goal: MTTCの短縮

Best practices:

インシデントを手動でクローズしないでください。手動でクローズすると、この KPI の精度が損なわれる可能性があります。
信頼性エンジニアリングスキルを向上させます。

AQMのKPIをすべてのステークホルダーに報告する。

FROM NrAiIncident SELECT average(durationSeconds/60) AS 'Incident MTTC (minutes)' WHERE event = 'close' AND priority = 'critical' SINCE 1 WEEK AGO COMPARE WITH 1 WEEK AGO

これは、合計継続時間が 5 分未満のインシデントの割合です。これは、インシデントの状態が頻繁に変化していることを示しており、インシデントの原因と重大度が不明瞭になる可能性があります。この状態はincident flappingと呼ばれます。

Goal: 短時間のインシデントの割合を最小限に抑えます。

Best practices:

システムに重大な影響を与える正当な異常が条件によって検出されていることを確認します。

サービスレベル管理を理解します。

FROM NrAiIncident SELECT percentage(count(*), WHERE durationSeconds <= 5*60) AS '% Under 5min' WHERE event = 'close' AND priority = 'critical' SINCE 1 WEEK AGO COMPARE WITH 1 WEEK AGO

ユーザーエンゲージメント

インシデントの価値は、それが受ける注目の量によって測るべきです。個々のアラートが受け取るエンゲージメントの量は、その価値の直接の測定値となります。エンゲージメントが多いということは、価値のあるアラートを意味し、エンゲージメントが低い（またはゼロ）ということは、アラートが単にノイズが多い可能性があるため、変更するか無効にする必要があることを意味します。

インシデントを認識した瞬間を測定することと、解決活動がいつ始まるかを認識することの間には大きな違いがあります。New Relic アラートとの統合を使用している場合は、New Relic に送信された Acknowledge イベントが、インシデントが外部インシデント管理ツールに送信されたときではなく、解決アクティビティの開始時にトリガーされるようにしてください。

これは、 true 確認フラグを持つインシデントの割合を示します。現在の週と前の週を比較する必要があります。

Goal: インシデントエンゲージメントの割合を増やします。

Best practices:

該当する場合、DevOps チームがインシデントアラートを承認するのが適切なタイミングを認識していることを確認します。
アラートの確認をゲーム化することで、利用を促進します。

大量の謝罪会見をしない。

FROM NrAiIssue SELECT filter(count(*), WHERE event='acknowledge')/filter(count(*), WHERE event='create')*100 AS '% Investigated' WHERE priority='CRITICAL' SINCE 1 WEEK AGO COMPARE WITH 1 WEEK AGO

これにより、インシデントを認識するまでにかかる平均時間が特定されます。通常は、現在の週と前の週を比較する必要があります。

Goal: 調査にかかる平均時間を短縮します。

Best practices:

インシデントレスポンダーのアラートに対する信頼性を高めることに努めます。
貴重なアラートが確認されていることを確認してください。

アラートに迅速に対応するよう、対応チームにインセンティブを与える。

FROM NrAiIssue SELECT average(acknowledgeTime - activateTime) / 60000 AS 'Incident MTTI (minutes)' WHERE event = 'acknowledge' SINCE 1 WEEK AGO COMPARE WITH 1 WEEK AGO

次は何ですか？

前のドキュメントの AQM プロセスを実装すると、信頼性と安定性を維持しながら、アラートの量が大幅に削減されることがわかります。上記のベストプラクティスに従う場合、AQM KPI はこれらの改善に関する正確な情報を提供します。

AQM の実装が完了したら、次のようなプラットフォームの他の側面の改善と管理を検討することもできます。

一つ前の手順

アラートを使用してスタックを改善する方法を学ぶ

この機械翻訳は、参考として提供されています。

ヒント

アラート品質管理を使用する理由は何ですか?

重要業績評価指標の使用

インシデント量

インシデント数 KPI

累積インシデント期間 KPI

MTTC（Mean Time To Close）KPI

5分未満の割合 KPI

ユーザーエンゲージメント

承認されたKPIの割合

MTTI（Mean Time to Investigation）KPI

次は何ですか？

一つ前の手順

この機械翻訳は、参考として提供されています。

アラートの品質を管理する

ヒント

アラート品質管理を使用する理由は何ですか? .css-21sua1{background:none;border:none;width:0;padding:0;}

重要業績評価指標の使用

インシデント量

累積インシデント期間 KPI

MTTC（Mean Time To Close）KPI

5分未満の割合 KPI

ユーザーエンゲージメント

承認されたKPIの割合

MTTI（Mean Time to Investigation）KPI

次は何ですか？

一つ前の手順

アラート品質管理を使用する理由は何ですか?