Application Real-Time Monitoring Service (ARMS) のアラート管理におけるインテリジェントノイズ低減機能は、大量の過去データから重要なイベントを見つけるのに役立ちます。ノイズイベントのしきい値 (情報エントロピーのしきい値) を設定することで、ノイズイベントをフィルタリングして抑制することもできます。この機能はすぐに利用でき、クリック 1 つで有効化できます。このトピックでは、インテリジェントノイズ低減を有効化して設定する方法について説明します。
背景情報
ほとんどの監視ツールは、静的または動的なしきい値に基づいてメトリクスの異常を識別し、アラートイベントをトリガーします。これらのツールは、多くの場合、マシンの再起動など、事前設定されたイベントをトリガーするデフォルトルールをサポートしています。運用チームは通常、複数のツールを使用し、広範なアラートを設定します。監視ソースとツールが多数存在するこの環境では、単一の問題が複数のシステムにまたがって多数の冗長なアラートイベントをトリガーすることがよくあります。大規模障害が発生すると、これがアラートストームに発展する可能性があります。その結果、運用担当者が重要なアラートイベントを迅速かつ効果的に特定することが難しくなり、重要なアラートがノイズに埋もれて見落とされることがあります。
- 複数の監視ソース、アラートシステム、および頻繁な誤検出により、反復的で価値の低いイベントが大量に生成されます。このノイズによって重大なイベントが埋もれ、識別が困難になります。
- 広範囲にわたる障害により、アラートストームが発生する可能性があります。
- テストイベントなどのダーティデータがイベントストリームに混在します。
インテリジェントノイズ低減の仕組み
ARMS のアラート管理は、異なるソースからのアラートイベントを統合プラットフォームに集約します。機能には、イベント処理フローとインテリジェントノイズ低減が含まれます。インテリジェントノイズ低減は自然言語処理 (NLP) アルゴリズムを使用し、情報理論における自己情報量と情報エントロピーの概念に基づいて、イベントの重要度を判定します。情報エントロピーは自己情報量の期待値であり、イベントが含む情報量を定量化します。単位は bit または nat です。この機能は、大量の過去データから重要なイベントを見つけるのに役立ちます。情報エントロピーのしきい値を設定することで、ノイズイベントをフィルタリングして抑制することもできます。インテリジェントノイズ低減はすぐに利用できる機能で、クリック 1 つで有効化できます。このモデルは、時間の経過に伴うイベント種別や内容の変化に適応し、手動介入なしで週 1 回自動更新されます。
- NLP とドメイン固有の語彙を使用してイベント内容を単語ベクトルに変換し、各イベントを詳細に測定できるようにします。
- 情報エントロピーの概念と TF-IDF (Term Frequency-Inverse Document Frequency) モデルに基づき、単語ベクトルの情報エントロピーと重要度を測定するモデルを構築します。
- シグモイド関数を適用し、イベント全体の情報エントロピーを非線形かつ正規化して測定します。
- 過去のイベント処理記録とユーザーフィードバックに基づいて、モデルを継続的に学習および反復します。
インテリジェントノイズ低減の有効化
にログインします。 ARMSコンソールを使用します。
- 左側メニューで、 を選択します。
- イベントリスト ページで、インテリジェントノイズ低減のスイッチをオンにします。
[Intelligent Noise Reduction] のスイッチはページ右上にあり、有効化すると緑色になります。説明 インテリジェントノイズ低減を有効化すると、ARMS のアラート管理は直近 1 か月の過去イベントデータを取得してモデルを学習させます。イベント数が多すぎる場合は、まず一部のデータセットが取得されます。
インテリジェントノイズ低減の詳細
| パラメーター | 説明 |
| 分析済みイベント | インテリジェントノイズ低減機能によって分析されたイベント数です。 |
| 識別されたノイズイベント | 情報エントロピーが指定したノイズイベントのしきい値より小さいイベントは、ノイズイベントとして分類されます。デフォルトのしきい値は0です。 |
| ノイズイベント識別率 | 分析済みイベントのうち、ノイズイベントとして識別された割合です。 |
| イベント情報エントロピー分布図 | ノイズイベントと非ノイズイベントの分布を表示します。 |
| 分析結果 | 分析結果 セクションには、分析済みイベントが一覧表示されます。ノイズ状態や情報エントロピーなどのパラメーターでフィルタリングできます。一覧でイベントをクリックすると、詳細を確認できます。 |
| 上位 50 の頻出単語 | モデルは、過去イベントの統計分析に基づいて単語頻度表を保持します。このセクションには、最も頻出する単語の上位 50 件が表示されます。この一覧を使用して、アカウント内のアラートイベントの理解を深めたり、優先単語と除外単語の設定に役立てたりできます。 |
モデル パラメーターの設定
インテリジェントなノイズ除去の詳細 ページで、ノイズイベントのしきい値、優先単語、除外単語を設定できます。
| パラメーター | 説明 |
| ノイズイベントのしきい値 | インテリジェントノイズ低減を有効化すると、ARMS のアラート管理は新規イベントごとに情報エントロピー値を算出します。ノイズイベントのしきい値は、ノイズイベントと非ノイズイベントを分ける基準です。デフォルト値は0です。 |
| 優先単語 | キーワード設定で、Critical や important など、優先したい単語を指定できます。イベント名または内容に優先単語が含まれている場合、優先度が引き上げられ、ノイズイベントに分類されにくくなります。 |
| 除外単語 | キーワード設定で、test や Test など、重要ではないと判断する単語を指定できます。イベント名または内容に除外単語が含まれている場合、そのイベントには情報エントロピー 0 が自動的に割り当てられます。ノイズイベントのしきい値が 0 より大きい場合、このイベントはノイズイベントとして分類されます。 |
よくある質問
- インテリジェントノイズ低減はいつ有効化すべきですか。
過去イベントが多数あり、冗長なアラートが大量に発生して重要なイベントの識別が難しい場合に、この機能を有効化してください。
社内テストでは、過去イベント数が1,000を超えると、モデルの性能が大幅に向上することが確認されています。
- モデルパラメーター (ノイズイベントのしきい値、優先単語、除外単語) を変更する必要はありますか。
インテリジェントノイズ低減を使い始めた直後は、デフォルトのパラメーター設定を使用することを推奨します。機能に慣れてきたら、要件に合わせて優先単語、除外単語、ノイズイベントのしきい値を設定できます。