Docs » Splunk Observability Cloudのアラートとディテクターの概要 » 内蔵アラート条件 » 履歴的異常

履歴的異常 🔗

「履歴的異常」は、シグナルが過去の同じ期間と異なる場合にアラートを発します(周期的データまたは季節的データの場合)。「履歴的異常」アラート条件は、既知の一定期間にわたって繰り返されるパターンを持つメトリクスの監視に使用します。パターンが繰り返される期間を指定するには、サイクル長 パラメータを使用します。

🔗

  • 例えば、あなたの環境では一般的に月曜日の朝の方が金曜日の夜よりもログイン数が多いなど、同時ログイン数に週例のパターンがあります。この場合、サイクル長 を「1w」に設定します。

  • 3ヶ月に一度、季節ごとの売り尽くしセールがあると、売上は急増します。この場合、サイクル長 を「13w」に設定します。

  • 増分バックアップの開始によって、ディスクの読み取り回数が12時間ごとに急増します。この場合、サイクル長 を「12h」に設定します。

基本的な設定 🔗

パラメータ

注意事項

サイクル長

>= 1の整数の後に時間を表す指標(s、m、h、d、w)を付す。例:30s、10m、2h、5d、1w。この値は、ネイティブ解像度より大幅に大きくなるように設定します。
シグナルのサイクルを表す時間範囲。たとえば、値が 1w の場合は、そのシグナルが毎週のサイクルに従っていることを示します。値が 1d の場合は、そのシグナルが毎日のサイクルに従っていることを示します。
サイクル長は、現在のウィンドウ パラメータで表される、データ比較に使用される時間窓の期間と連動して動作します。現在のウィンドウからのデータは、以前のサイクル数 パラメータの値に応じて、履歴的異常を検出するために、1つ以上前のサイクルからのデータと比較されます。
例えば、現在のウィンドウが 1h で、サイクル長が 1w の場合、過去1時間のデータ([-1h,now])と、[-1w1h,-1w]時間、[-2w1h,-2w]時間などのデータが比較されます。

アラートのタイミング

Too highToo lowToo high or Too low

アラートは、シグナルが閾値を超えたとき、閾値を下回ったとき、または指定された範囲外にあるときにトリガーされます(例:正常値より3.5偏差以上上または下の場合、正常値より30%以上上または下の場合など)。異常の基準を正常値からの標準偏差とするか、正常値からのパーセンテージ差とするかを指定するには、カスタム感度 > 正常値の基準 パラメータを選択します。

トリガー感度

LowMediumHighCustom

アラートのトリガー頻度の目安。「Low」を選択するとアラートのトリガー頻度は低くなり、アラートが解除されるまでの時間が長くなります(最も flappy でなくなる)。トリガーと解除の感度を決定する設定を変更するには、Custom を選択します(以下にリスト)。

詳細な設定 🔗

パラメータ

注意事項

正常値の基準

Mean plus standard deviationMean plus percentage change

シグナルの短期的な変動がシグナルのスケールに対して小さく、そのスケールがある程度自然である場合は、 Mean plus percentage change を使用することを推奨します。Mean plus standard deviation を使用すると、標準偏差の数が大きい場合にもアラートが発生する可能性があります。さらに、Mean plus percentage change は、ビジネス上の直接的な解釈が可能なメトリクスの場合に推奨されます(例: user_sessions が20%低下すると収益が5%低下する、という場合)。

現在のウィンドウ

>= 1の整数の後に、時間を表す指標(s、m、h、d、w)を付す。例:30s、10m、2h、5d、1w。この値は、サイクル長より短く、ネイティブ解像度より大幅に大きくなるように設定します。

データを比較する対象となる時間範囲。移動平均のウィンドウと考えることができます。値が高いほど、より多くのデータポイントの平均が計算され、一般的に値が平滑化されるため、感度は低くなり、アラート数は潜在的に少なくなります。

過去のサイクル数

>=1 かつ <= 8の整数

サイクル長と連動して動作します。履歴ベースの基準またはベースラインを設定するために使用するサイクル数です。例えば、サイクル長が1wの場合、このパラメータは、履歴上の基準を計算する際に使用する過去の週数を指定するものです。先週を基準とする場合は、この値に1を使用します。過去4週間の平均を基準とする場合は、この値に4を使用します。値が大きいほど、基準値を定義するために使用されるデータが多いことを意味します。

トリガーの閾値 および 解除の閾値正常値の基準Mean plus standard deviation の場合)

>= 0の数値。解除の閾値はトリガーの閾値より低くする必要があります

アラートのトリガーおよび解除のために必要な、基準からの標準偏差の数。

例えば、トリガーの値が3.5の場合、比較される値が3.5標準偏差以上異なる場合にアラートをトリガーします。値が高いほど感度は低くなり、アラート数は潜在的に少なくなります。

解除の値が2.5の場合、比較される値が2.5標準偏差以下の差である場合にアラートを解除します。値が大きいほど、アラートの解除にかかる時間が長くなります。

トリガーの閾値 および 解除の閾値正常値の基準Mean plus percentage change の場合)

0~100の数値(0と100を含む)。解除の閾値はトリガーの閾値より低くする必要があります。

アラートのトリガーまたは解除に必要な変化のパーセンテージ。

例えば、トリガーの値が30の場合、比較される値が30%以上異なる場合にアラートをトリガーします。値が高いほど感度は低くなり、アラート数は潜在的に少なくなります。

解除の値が20の場合、比較される値が20%以下の差である場合にアラートを解除します。値が大きいほど、アラートの解除にかかる時間が長くなります。

履歴的極値を無視

YesNo

過去のサイクル数 が3以上の場合のみ該当します。

正常値の基準Mean plus percentage change の場合は、Yes に設定すると履歴ベースの基準値の中央値を取り、No に設定するとその平均値を取ります。

正常値の基準Mean plus standard deviation の場合は、Yes に設定すると平均が最大のサイクルと平均が最小のサイクルを除外し、No に設定するとそれらを含めます。

一般的には、Yes が推奨されます。例えば、先週インシデント発生した場合、その関連データを閾値の計算から除外することで、シグナル測定の比較基準となる「正常」の挙動をより正確に表すことができます。

参考 🔗

パラメータ

注釈

サイクル長と現在のウィンドウ

この両パラメータは、ネイティブ解像度より大幅に大きく設定します。

現在のウィンドウとネイティブ解像度

現在のウィンドウとネイティブ解像度の比率が小さい場合、ローリング標準偏差が小さくなる可能性があります。そのような場合、Mean plus percentage change を使用すると、より良い結果が得られる可能性があります。

シグナル

このアラート条件は、ローリング平均に標準偏差を加えたものをシグナルに適用するため、シグナルに適用される他の変換との相互作用が悪くなる可能性があります(例えば、カウントが重複したり、標準偏差が小さくなったりする可能性があります)。

このページは 2024年12月05日 に最終更新されました。