a detecção de anomalias permite à sua equipe maior versatilidade ao detectar comportamentos incomuns em seu sistema. A detecção de anomalias dá à sua equipe a capacidade de alertar sobre qualquer entidade ou sinal e de ajustar e otimizar seu limite de sensibilidade. a detecção de anomalias usa o mesmo pipeline de alerta de streaming que os alertas de limite estático e compartilha as mesmas configurações de ajuste avançado. Isto garante que o processamento do fluxo esteja alinhado às características do seu sinal de telemetria para reduzir alertas falsos.
Você também pode enriquecer sua configuração de detecção de anomalias com metadados adicionais para fornecer mais contexto e adicionar descrições de incidentes personalizadas que podem fornecer instruções adicionais ao seu engenheiro de plantão.
Configurar limite de anomalia de sensibilidade
Você pode criar limite de sensibilidade de anomalia a partir de uma condição do alerta. Aqui estão algumas dicas para definir o limite de anomalia:
Defina a direção da anomalia para monitor incidentes que ocorram acima ou abaixo da anomalia.
Use a barra deslizante para ajustar o limite de sensibilidade
Critical
, representado no gráfico de visualização pela área cinza claro ao redor do sinal. Quanto mais estreita for a banda ao redor do sinal, mais sensível ele será e mais incidentes irá gerar.
Você pode criar um limite
Siga estas etapas para criar uma condição de alerta de detecção de anomalia:
Vá para one.newrelic.com > All capabilities > Alerts > Alert Conditions.
Clique em + New alert condition > Use guided mode (ou no modo de consulta mais avançado).
Siga as etapas guiadas até chegar a Set thresholds.
Selecione Anomaly.
Defina as configurações para um ou mais limites. a detecção de anomalias faz uma previsão sobre qual será o próximo ponto de dados com base na atividade anterior. O valor limite para detecção de anomalia controla a sensibilidade da condição do alerta para tolerar o quão distante o valor real está do valor previsto. O limite é o número de Desvio padrão em que o valor do seu sinal está distante do valor que foi previsto. Rastreamos o Desvio padrão entre o valor previsto e o valor real dos dados dos 7 dias anteriores.
Para configurar o limite, você precisará:
Defina a 'direção do limite' para superior, inferior ou ambos. Isso significa que só criaremos um incidente se o valor do sinal (a saída da consulta) estiver acima do valor previsto, abaixo do valor previsto ou ambos, respectivamente.
Este campo determina quantos pontos de dados durante um período de tempo especificado devem estar fora do limite. As opções são for at least e at least once in. Selecionar for at least significa que TODOS os pontos de dados do seu sinal devem estar fora do limite durante o período especificado antes que um incidente seja aberto. O inverso deve ser verdadeiro para encerrar o incidente. A opção at least once in significa simplesmente que assim que qualquer um dos pontos de dados do seu sinal estiver fora do limite, um incidente será aberto. Com esta opção, a duração não é relevante para determinar quando abrir um incidente. Porém, é relevante para o fechamento do incidente. Todos os pontos de dados do seu sinal devem estar dentro do limite durante o período de tempo especificado
Defina a 'duração limite'. Pense nisso como o tempo que o valor do sinal deve permanecer fora do limite antes que um incidente seja aberto. Por outro lado, é também o tempo que um sinal deve estar dentro do limite para que um incidente seja encerrado.
Este campo responde ao período mencionado acima. É quanto tempo o sinal excede o limite que está sendo definido. Esta é a duração real do limite.
Defina o 'nível limite'. Para detecção de anomalia personalizada, este é o número de Desvio padrão em que o ponto de dados do sinal está a partir do valor que previmos que seria.
Adicione os detalhes da condição do alerta e clique em Save condition.
Definir limite para condições multissinais (consulta facetada)
Dependendo de como você definiu sua consulta no passo 1, a condição do alerta pode ser monitorar vários sinais, e não apenas um. Ao trabalhar com NRQL, essas consultas utilizam a cláusulaFACET
. O número máximo de sinais que uma condição do alerta pode monitor é 5.000. As configurações de limite especificadas aplicam-se da mesma forma a todos os sinais monitorados por esta condição. Cada sinal é monitorado e avaliado individualmente, mas as configurações se aplicam de forma consistente a todos os sinais. Mostraremos apenas um máximo de 500 sinais no gráfico de visualização. Porém, não mostramos o sinal previsto e as bandas de limite quando há mais de um sinal mostrado no gráfico. Para mostrar essas informações ao determinar o valor limite ideal, selecione um dos sinais de série temporal da legenda para filtrar o gráfico em uma única série temporal.
Direção da anomalia: selecione faixas superiores ou inferiores
Você pode escolher se deseja que a condição procure um comportamento que esteja acima do valor previsto ("superior") ou que esteja abaixo do valor previsto ("inferior"), ou que esteja acima ou abaixo. Você escolhe estes com o seletor de direção de previsão.
Exemplos de casos de uso para isso:
- Você pode usar a configuração Superior para uma fonte de dados como taxa de erros, porque geralmente você só fica preocupado se ela aumentar e não se preocupar se ela diminuir.
- Você pode usar a configuração Inferior para uma fonte de dados como taxas de transferência, porque flutuações ascendentes repentinas são bastante comuns, mas uma grande queda repentina indicaria um problema.
Aqui estão exemplos de como grandes flutuações em seus dados seriam tratadas sob diferentes configurações de direção de anomalia. As áreas vermelhas representam incidente.
Regras que regem o cálculo do valor previsto
O algoritmo para calcular a previsão é matematicamente complexo. Aqui estão algumas das principais regras que regem suas habilidades preditivas:
Age of data
Na criação inicial, a previsão é calculada usando de 1 a 4 semanas de dados, dependendo da disponibilidade dos dados e do tipo de previsão. Atualmente, as consultas que usam a cláusula
FACET
não são treinadas em dados armazenados. Após a sua criação, o algoritmo leva em consideração as flutuações contínuas dos dados durante um longo período de tempo, embora seja dado maior peso aos dados mais recentes. Para dados que existem há pouco tempo, o valor previsto provavelmente flutuará bastante e não será muito preciso. Isso ocorre porque não há dados suficientes para determinar seus valores e comportamento habituais. Quanto mais histórico os dados tiverem, mais precisa se tornará a previsão.Consistency of data
Para valores métricos que permanecem num intervalo consistente ou que apresentam tendências lentas e constantes, o seu comportamento mais previsível significa que o seu limite de sensibilidade se tornará mais apertado em torno da previsão. Dados mais variados e imprevisíveis terão limites de sensibilidade mais flexíveis (mais amplos).
Regular fluctuations
Para flutuações cíclicas com duração inferior a uma semana (como implantação semanal às 13h de quarta-feira ou relatórios noturnos), o algoritmo de previsão procura essas flutuações cíclicas e tenta ajustar-se a elas.