Configurer la logique de corrélation avec les décisions

Grâce à la logique de corrélation des alertes, les problèmes connexes sont regroupés pour réduire les alertes gênantes et redondantes. Lorsque des événements surviennent dans votre système, ils sont éligibles à notre logique de corrélation. Les problèmes éligibles sont évalués en fonction du temps, du contexte de l’alerte et des données relationnelles. Si plusieurs problèmes sont liés, notre logique de corrélation regroupera l'incident lié en un seul problème global.

Nous appelons cette logique de corrélation decisions. Nous avons des décisions intégrées, mais vous pouvez également créer et personnaliser les vôtres sur la page de décisions. Pour trouver la page des décisions, rendez-vous sur one.newrelic.com > All capabilities > Alerts > Decisions. Plus vous configurez vos décisions pour qu'elles répondent au mieux à vos besoins, mieux New Relic peut corréler votre incident, réduire le bruit et fournir un contexte accru aux équipes d'astreinte.

A screenshot that shows the alert decisions UI.

one.newrelic.com > All capabilities > Alerts > Incident intelligence > Decisions:Notre UI montre comment chaque décision est corrélée à un incident.

Qu’est-ce que la corrélation et comment fonctionne-t-elle ?

Vos incidents les plus récents et les plus actifs sont disponibles pour notre logique de corrélation. Par exemple, disons que votre système a reçu deux alertes indiquant qu'un moniteur Synthétique est en panne en Australie et à Londres. Ces deux alertes auront créé leur propre incident unique. Ces incidents généreront leurs propres problèmes uniques en fonction de la politique de créationincident existante de votre équipe. La logique de corrélation de New Relic testera ensuite ces incidents les uns par rapport aux autres pour trouver des similitudes. Dans ce cas, c'est le même moniteur qui échoue sur plusieurs sites, donc New Relic fusionnera les deux incidents en un seul problème contenant chaque événement pertinent.

Lorsque nous corrélons un événement, nous vérifions chaque paire de combinaisons les unes par rapport aux autres et en combinons autant que possible. Par exemple:

Notre algorithme met en corrélation incident A et B (appelons-le « AB »).
Notre algorithme corrèle incident B et C (appelons-le « BC »).
Étant donné que B est présent dans les deux problèmes, l’algorithme met alors en corrélation les trois incidents en un seul problème.

Configurer la politique de corrélation

Pour activer la corrélation sur les problèmes basés sur des alertes , vous devez vous connecter à la corrélation pour la règle d'alerte correspondante.

A screenshot of how to enable correlation for an alert policy.

Cochez la case Correlate and suppress noise pour activer la corrélation pour la règle d'alerte.

Types de décisions

Les décisions déterminent la manière dont les renseignements incident relient les problèmes entre eux. La logique de corrélation de New Relic est disponible pour votre équipe dans trois types de décision différents :

Global decision:Un large ensemble de décisions par défaut est automatiquement activé lorsque vous commencez à utiliser des alertes.
Suggested decision:Le moteur de corrélation de New Relic évalue en permanence vos données d'événement pour suggérer des décisions qui capturent des modèles de corrélation afin de réduire le bruit. Vous pouvez prévisualiser les résultats de simulation d’une décision suggérée et choisir de l’activer.
Custom decision:Votre équipe peut personnaliser les décisions en fonction de votre cas d’utilisation pour améliorer l’efficacité de la corrélation. L'UI de décision de New Relic vous offre la flexibilité de configurer toutes les dimensions d'une décision.

Passez en revue vos décisions actives

Pour revoir les décisions existantes de votre équipe :

Allez à one.newrelic.com> Alerts > Incident intelligence > Decisions.
Consultez la liste des décisions actives. Pour voir la logique de règle qui crée des corrélations entre vos problèmes, cliquez sur la décision.
Pour voir des exemples d’incidents corrélés à la décision, cliquez sur l’onglet Recent correlations .
Vous avez la possibilité d'activer ou de désactiver ces décisions globales.

Configurer les sources

Avant de configurer vos décisions, il est important de déterminer les sources que vous souhaitez corréler. Les sources sont vos entrées de données.

Vous pouvez obtenir des données à partir de l’une des sources suivantes :

En activant l'intelligence incident pour vos politiques, vous pouvez obtenir un contexte et des corrélations à partir de ce que vous monitoring. Pour obtenir des données à partir des alertes :

À partir de one.newrelic.com, cliquez sur Alerts.
À gauche, sous incident intelligence, cliquez sur Sources, puis sur Alerts.
Sélectionnez les politiques que vous souhaitez connecter aux alertes et cliquez sur Connect.
Vous pouvez ajouter des règles d'alerte supplémentaires ou supprimer des politiques que vous avez déjà connectées dans Sources > Alerts.
Conseil
L'ajout d'alertes comme source n'affectera pas votre configuration ou notification actuelle.

L'intelligence incidente prend en charge une interface API REST dédiée qui vous permet d'intégrer des systèmes supplémentaires. L'interface permet instrumentation de votre code ou d'autres solutions monitoring pour signaler tout type de métrique ou d'événement.

Une métrique peut être un point de données brutes tel que le processeur, la mémoire, l'utilisation du disque ou un KPI d'entreprise.
Un événement peut être une alerte monitoring , un événement déployé, incident, des exceptions ou tout autre changement d'état que vous souhaitez décrire.
Vous pouvez également envoyer tout type de données à incident Intelligence directement depuis votre propre système ou application. L'API REST prend en charge l'authentification sécurisée basée sur jeton et accepte le contenu JSON en entrée.
Pour plus d’informations sur l’authentification et la référence complète de l’API, consultez API REST pour les alertes New Relic.

Décisions mondiales

Les décisions globales sont automatiquement activées lorsque votre équipe commence à utiliser des alertes. Ils ne nécessitent aucune configuration et sont immédiatement disponibles pour votre équipe. Les décisions mondiales couvrent une variété de scénarios de corrélation.

Le tableau ci-dessous fournit des descriptions pour toutes les décisions globales qui sont automatiquement activées.

Nom de la décision	Description
Nom de cible du même nom New Relic (NRQL)	La corrélation est activée lorsque le nom de l'entité avec un seuil dépassé et la requête NRQL sont identiques. L'événement pertinent de la même condition d'alerteNRQL sera identifié. Cette décision permet de relier les problèmes qui présentent le même écart de latence de requête de transaction par exemple.
Nom de cible du même nom New Relic (non NRQL)	La corrélation est activée car les New Relic NRQL seuils d'alerte non sont les mêmes. Ne s'applique pas à la source REST. L'entité nonNRQL fait référence à l'entité, généralement à l'application, aux types HOST, voir le référentielNew Relic GitHub (dépôt) sur la synthèse des entités. Avec cette décision, les questions pertinentes de la même entité seront identifiées. Par exemple, un problème de mémoire élevée de l'hôte et un problème de non-signalement de l'hôte pourraient être très probablement dus à la même cause.
Même identifiant de cible New Relic	La corrélation est activée car les New Relic NRQL seuils d'alerte non sont les mêmes. Ne s'applique pas à la source REST. Utilisez l'ID d'entité pour identifier de manière unique une instance d'entité. Apprenez-en davantage sur entity.guid.
Même état New Relic	La corrélation est activée car les identifiants de condition New Relic sont les mêmes. Par exemple, l'augmentation de l'utilisation du processeur avec des services associés déclenchera un incident à partir de la même condition d'utilisation du processeur et sera donc identifiée. Cette logique est utile au-delà de l'option de préférence de création de problème de règle d'alerte pour un problème par condition, en raison de la granularité au niveau de la condition et de la flexibilité dans la définition de la fenêtre de temps de corrélation.
Même état New Relic et URL de lien profond	La corrélation est activée car les identifiants de condition New Relic et l'URL du lien profond sont identiques. L'URL du lien profond fournit des informations sur les séries chronologiques et la plage temporelle en plus de la condition d'alerte. La corrélation de ces problèmes vous permet d'examiner plus facilement les incidents liés dans le flux de réponse aux incidentavec des métriques temporelles et d'effectuer une analyse approfondie. L'URL du lien profond peut être générée automatiquement si des incidents sont déclenchés par la condition d'alerte New Relic , tandis que pour la source REST, deepLinkUrl doit être défini par l'utilisateur.
Même état et même titre New Relic	La corrélation est activée car les noms et les titres des conditions de New Relic sont les mêmes. Il s'agit d'une option raffinée en comparant les titres en plus des conditions pour révéler une pertinence plus étroite avec le même message d'alerte.
Même déploiement de K8s	La logique de corrélation est activée car les déploiements Kubernetes sont les mêmes. De nombreux incidents sont dus à des changements de déploiement uniques. Cette décision vise à réduire les problèmes liés au même déploiement d’entité Kubernetes problématique.
Même nom d'application, même politique et même identifiant	La logique de corrélation est activée car le nom de l’application personnalisée, la politique et l’ID personnalisé sont identiques. Nous corrélons les problèmes avec ces éléments pour réduire les problèmes application , en particulier pour répondre aux besoins des utilisateurs tag personnalisées. En savoir plus sur la balise. L'ID tag personnalisé peut être défini par l'ID de famille de conditions ou d'autres valeurs d'ID utilisées comme clé pour identifier les connexions entre les données.
Message d'alerte similaire	La corrélation est activée car les incidents ont des titres similaires et proviennent de la même entité. Il s'agit de réduire les problèmes provenant de la même entité et causés par une condition d'alerte similaire.
Même identifiant sécurisé, même emplacement public et même type	La corrélation est activée car les informations d'identification sécurisées, l'emplacement public et le type personnalisé sont respectivement les mêmes. Il s'agit de corréler les problèmes provenant de la même localisation géographique/région avec les mêmes informations d'identification de sécurité qui sont normalement déclenchés par une seule cause première (par exemple, une défaillance du moniteur Synthetics) et qui pourraient très probablement être résolus avec la même solution. Ajoutez une balise pour bénéficier de cette décision.
Structure de problème similaire	La corrélation est activée car les deux incidents ont une structure d'attribut et un contenu de données similaires. Il s'agit d'une version simplifiée du cluster, elle adopte des algorithmes de similarité avancés dans le calcul matriciel pour réduire les problèmes hautement liés.
Topologiquement dépendant	La corrélation est activée car les incidents sont générés à partir d'instances ayant des relations dépendantes. En savoir plus sur la corrélation de topologie prête à l'emploi.

Utiliser les décisions suggérées

Les données provenant de vos sources sélectionnées sont continuellement inspectées à la recherche de modèles afin de contribuer à réduire le bruit. Une fois les modèles observés dans vos données, notre logique de corrélation suggérera des décisions uniques qui permettront à ces types d’événements d’être corrélés à l’avenir.

Pour commencer, cliquez sur l’onglet Suggested decisions sur le sujet de la page UI Decisions. Vous pouvez voir la logique derrière la décision suggérée et le taux de corrélation estimé en cliquant sur chaque décision suggérée.

A screenshot of a suggested decision block

one.newrelic.com > All capabilities > Alerts > Decisions:Quelques exemples de statistiques issues de l'UI des décisions.

Pour activer une décision suggérée, cliquez sur Add to your decisions. Une fois activée, la décision apparaîtra dans le tableau de décision principal de votre équipe. Toutes les décisions suggérées afficheront le créateur comme étant New Relic AI (cela fait référence aux alertes New Relic).

Si la décision suggérée ne correspond pas à vos besoins, cliquez sur Dismiss.

Créer des décisions personnalisées

Vous pouvez réduire le bruit et améliorer la corrélation en créant vos propres décisions personnalisées. Pour commencer à prendre une décision, accédez à one.newrelic.com > All capabilities > Alerts > Decisions, puis cliquez sur Create new decision.

Il existe deux versions du générateur de décision :

Générateur de décision de base (en avant-première)
Générateur de décision avancé

Pour en savoir plus sur la façon d’utiliser ces outils de prise de décision, continuez à lire.

Éléments de décision

Une décision est composée de ces éléments :

Corréler par attribut : Corréler tous les incidents par des similitudes ou des différences dans leur attribut.
Filtrer par valeurs spécifiques : limitez l'incident à ceux ayant des valeurs spécifiques.
Filtrer par entité liée : Sélectionnez les types de connexions partagées ou de dépendances que vous souhaitez que nous recherchions.
Plage de temps de corrélation : définit la différence de temps maximale autorisée entre les heures de création de deux incidents pour qu'ils soient pris en compte pour la corrélation.

Une fois les liens entre les incidents établis, notre algorithme regroupe les incidents corrélés en un seul problème.

Générateur de décision de base

This feature is currently in preview and available for only some customers. Si vous n'y avez pas accès, consultez les instructions du générateur de décision avancé.

Voici une courte vidéo (3:25 minutes) montrant comment utiliser le générateur de décision de base :

Le générateur de décisions de base couvre la majorité des cas d'utilisation et se concentre sur la « corrélation par attribut », où vous pouvez spécifier des conditions de filtrage pour les correspondances de corrélation. Vous pouvez également appliquer la même logique de filtrage pour des valeurs spécifiques aux deux incidents corrélés. Par exemple, vous pouvez corréler l’incident si le nom de l’entité est host 1 pour les deux.

Pour créer votre propre décision personnalisée à l’aide du générateur de décision de base, procédez comme suit. Gardez à l’esprit que les étapes 1, 2 et 3 sont facultatives en elles-mêmes, mais au moins l’une des trois doit être définie pour prendre une décision.

Étape 1 : Corrélation par attribut

Choisissez un attribut dans le menu liste déroulante. L'opérateur equal , l'option la plus populaire, est présélectionné, ou vous pouvez choisir un autre opérateur.

Le deuxième attribut correspond généralement au premier, il est donc renseigné automatiquement. Vous pouvez conserver l'option de remplissage automatique ou choisir un autre opérateur.

Une fois terminé, une simulation s'exécute automatiquement.

Vous pouvez répéter ces étapes pour ajouter jusqu'à huit filtres logiques.

Étape 2 : Filtrer par valeurs spécifiques

Pour ouvrir la section Filter by specific values et voir des filtres supplémentaires, cliquez sur See more options.
Choisissez un attribut.
L'opérateur equal est présélectionné, ou vous pouvez sélectionner un autre opérateur.
Sélectionnez les valeurs attendues pour l'attribut choisi, avec plusieurs sélections prises en charge.

Une fois terminée, la simulation s'exécutera automatiquement.

Vous pouvez répéter ces étapes pour ajouter jusqu'à huit filtres logiques.

Cliquez sur Filter by related entities et choisissez les classes d’entité.

Lorsque vos données sont collectées par l'agentNew Relic , vous obtenez une corrélation topologique automatique. En savoir plus sur notre corrélation de topologie par défaut.

Vous pouvez également configurer les paramètres de topologie à l'aide de notre API NerdGraph. Cela permet à toute décision liée à la topologie d'être mise en correspondance avec vos données topologiques. En savoir plus sur la configuration de la corrélation de topologie.

Étape 4 : définir la plage de temps de corrélation

Cela définit la différence de temps maximale autorisée entre les heures de création de deux incidents pour qu'ils soient pris en compte pour la corrélation. les incidents dans cette plage seront évalués sur la base de règles spécifiées, tandis que ceux en dehors de cette plage ne seront pas corrélés.

La plage horaire est définie par défaut sur 20 minutes. Vous pouvez l'ajuster entre 1 et 120 minutes.

Étape 5 : Tester votre décision à l’aide d’une simulation

Après avoir ajouté une logique de filtre, le système exécute automatiquement une simulation en utilisant les 7 derniers jours de données d'incident.

Vous pouvez également déclencher manuellement la simulation en cliquant sur Simulate, ce que vous souhaiterez peut-être faire si quelque chose a changé dans la décision.

Étape 6 : Nommez et enregistrez votre décision

Pour accéder au panneau nom et description, cliquez sur Create decision. Le système génère un nom en fonction de votre décision. Personnalisez le nom et la description comme vous le souhaitez.

Générateur de décision avancé

Le générateur de décision avancé permet la création de décisions plus complexes en appliquant différents filtres logiques aux deux incidents corrélés. Par exemple, vous pouvez corréler un incident si l'un a le nom d'entité host 1 et l'autre a le nom d'entité host 2. Il existe également des paramètres plus avancés en plus de pouvoir uniquement configurer la fenêtre temporelle.

Pour utiliser le générateur de décision avancé :

Allez à one.newrelic.com > All capabilities > Alerts > Decisions.
Cliquez sur Create new decision, puis sur Use advanced builder.

Pour plus de détails sur les options disponibles, continuez à lire.

Termes importants :

Filtre logique : Condition logique définie avec un opérateur sur un attribut.
Segment : un groupe d’incidents qui satisfont à une combinaison de filtres logiques.

Pour créer votre propre décision personnalisée, procédez comme suit. Gardez à l’esprit que les étapes 1, 2 et 3 sont facultatives en elles-mêmes, mais au moins l’une des trois doit être définie pour prendre une décision.

Étape 1 : Filtrez vos données

Une corrélation se produit entre deux incidents. Si aucun filtre n'est défini, tous les incidents entrants seront pris en compte par la décision. Plus vous configurez vos décisions en fonction de vos besoins, mieux nous pouvons corréler votre incident, réduire le bruit et fournir un contexte accru aux équipes d'astreinte.

Votre équipe peut définir vos filtres pour le premier segment de l'incident et le deuxième segment de l'incident. Les opérateurs de filtrage vont de la correspondance de sous-chaînes à la correspondance d'expressions régulières pour vous aider à cibler l'événement incident que vous souhaitez et à exclure ceux que vous ne souhaitez pas.

Étape 2 : Corrélation par attribut

Une fois vos données filtrées, définissez la logique utilisée lors de la comparaison du contexte de l'incident. Vous pouvez corréler un événement en fonction des méthodes suivantes :

comparaisons de valeurs d'attributs avec des opérateurs standard
similarité des valeurs d'attributs à l'aide d'algorithmes de similarité
Expression régulière de valeur d'attribut avec groupes de capture
Comparaisons incident entiers à l'aide d'algorithmes de similarité ou de cluster

Étape 3 : Corrélation par entité liée

Pour une corrélation topologique automatique, assurez-vous que vos données télémétriques sont collectées par l'agentNew Relic . En savoir plus sur la corrélation de topologie prête à l'emploi.

Étape 4 : Donnez-lui un nom

Après avoir configuré votre logique de décision, donnez-lui un nom reconnaissable et une description.

Conseil

Minimisez les problèmes de sécurité en vous assurant de ne pas ajouter d’informations sensibles ou personnelles à ces champs de texte ouverts.

Ceci est utilisé dans les notifications et d'autres zones de l'UI pour indiquer quelle décision a provoqué la corrélation d'une paire d'incidents. Si vous ne souhaitez pas mettre à jour les paramètres avancés par défaut à l’étape suivante, cliquez sur Create decision pour terminer la création.

Étape 5 : Utiliser les paramètres avancés

Utilisez la zone des paramètres avancés pour personnaliser davantage le comportement de votre décision lors de la corrélation d'un événement. Chaque paramètre a une valeur par défaut, la personnalisation est donc facultative.

Time window: Définit le temps maximal entre la création de deux incidents pour qu'ils soient éligibles à la corrélation.
Issue priority: Remplace le paramètre de priorité par défaut (inherit priority) pour ajouter une priorité plus élevée ou plus basse si les incidents sont corrélés.
Frequency: Modifie le nombre minimum d'incidents qui doivent répondre à la logique de décision pour que la décision soit déclenchée.
Similarity:Si vous utilisez des opérateurs similar to dans votre logique de décision, vous pouvez choisir parmi une liste d'algorithmes et définir sa sensibilité. Cela s'appliquera à tous les opérateurs similar to de votre décision.

Opérateurs logiques

Decision fournit un ensemble d'opérateurs pour vous aider à définir de manière flexible comment la valeur d'attribut d'un incident est évaluée dans un filtre logique. Les opérateurs de base sont equals, contains, starts with, ends with, exists et leurs opérateurs de négation en conséquence. Par exemple, does not equal.

Il existe un opérateur de similarité is similar to, l'algorithme de similarité sous-jacent peut être spécifié pour cet opérateur. Par défaut, il utilise la distance de Levenshtein.

L'opérateur contains (regex) permet de définir une condition regex . Puissant pour faire correspondre des valeurs de données arbitraires.

Algorithmes de similarité

Voici les détails techniques sur les algorithmes de similarité que nous utilisons :

Cette mesure est utile pour comparer des chaînes courtes avec un schéma statique et une longueur fixe, comme les noms d'hôtes. La distance de Levenshtein est également connue sous le nom de distance d'édition.

Détails	Description
Comment ça marche	La distance de Levenshtein entre deux chaînes est le nombre minimum de modifications d'un seul caractère pour passer d'une chaîne à l'autre. Les opérations d'édition autorisées sont la suppression, l'insertion et la substitution. Le seuil de similarité par défaut pour les décisions d’alerte est une distance d’édition de 3. Vous pouvez modifier cela dans le Advanced mode du générateur de décision.
Quand l'utiliser	Cette mesure est particulièrement utile pour comparer des chaînes relativement courtes avec un schéma statique et une longueur fixe. Les applications courantes incluent les correcteurs orthographiques, la biologie computationnelle et la reconnaissance vocale.
Exemples	`number/bumble: 3 (number → bumber → bumblr → bumble)` `trying/lying: 2 (trying → rying → lying)` `strong/through: 4 (strong → htrong → throng → throug → through)`
Inconvénients potentiels	L'algorithme de distance de Levenshtein n'est pas normalisé par défaut pour prendre en compte les longueurs de chaîne.

Cette métrique est utile pour comparer des chaînes de même longueur où le même préfixe serait un bon indicateur de corrélation.

Détails	Description
Comment ça marche	L'algorithme de score flou fonctionne en attribuant des « points » pour les correspondances de caractères entre les chaînes : Un point pour chaque caractère correspondant Deux points bonus pour les matchs suivants Plus le score flou est élevé, plus la similitude entre deux chaînes est grande.
Quand l'utiliser	Le score flou est particulièrement utile pour les chaînes qui ont des préfixes identiques et relativement courts (idéalement moins de cinq caractères). Le score minimum garanti serait `(length(expected prefix) * 3) - 2`.
Exemples	Exemple: `Decisions / dcsions` `d: 1` `c: 1` `i 1` `s: 2` `o: 1` `n: 1` `si: 2` `io: 2` `on: 2` `ns: 2` `= 15 points`
Inconvénients potentiels	Si le premier caractère de la première chaîne ne peut pas être trouvé dans la deuxième chaîne, aucun point n'est attribué.

Cette métrique est utile pour comparer des chaînes de longueur similaire.

Détails	Description
Comment ça marche	La famille de mesures de similarité fuzzy wuzzy a été développée par SeatGeek pour aider à trouver des billets pour le même événement qui ont des étiquettes différentes sur plusieurs plateformes. Le rapport flou/wuzzy pour deux chaînes est exprimé en pourcentage, où un nombre plus élevé indique une chaîne plus similaire. Il est basé sur l'algorithme SequenceMatcher dans difflib de Python.
Quand l'utiliser	Le ratio flou wuzzy est efficace pour les chaînes très courtes (telles que le nom d'hôte) ou les chaînes très longues (telles que la description d'un événement), en particulier pour comparer des chaînes de longueur similaire.
Inconvénients potentiels	Cet algorithme est trop sensible pour être utilisé efficacement pour des chaînes de 3 à 10 mots. L’une des autres modifications de fuzzy wuzzy (voir ci-dessous) peut être un meilleur choix.

Cette métrique est utile pour comparer des chaînes de différentes longueurs. Cette modification de l'algorithme fuzzy wuzzy permet de résoudre la limitation de longueur effective.

Détails	Description
Comment ça marche	Avec le rapport partiel flou Wuzzy, la chaîne la plus courte est comparée à chaque sous-chaîne de la même longueur dans la chaîne la plus longue. Le score de la sous-chaîne « la mieux correspondante » est utilisé pour déterminer le rapport partiel flou wuzzy.
Quand l'utiliser	Le rapport partiel flou wuzzy est particulièrement efficace pour les types de comparaisons pour lesquels l'algorithme flou wuzzy de base échoue : les chaînes de 3 à 10 mots où certaines sous-chaînes significatives sont susceptibles de se chevaucher.
Exemples	Par exemple, entre les chaînes suivantes : `DevOps and SRE teams` `DevOps` `DevOps` (la chaîne la plus courte, longueur = 6) serait comparée à chaque sous-chaîne de longueur 6 dans `DevOps and SRE teams`. Étant donné que l’une de ces sous-chaînes (`DevOps`) correspond parfaitement, le rapport partiel flou wuzzy pour ces deux chaînes sera élevé.
Inconvénients potentiels	Là où le flou wuzzy peut être trop conservateur, la correspondance partielle floue wuzzy peut être plus libérale que prévu avec les corrélations. Vous pouvez ajuster le seuil dans le générateur de décision en fonction de vos besoins.

Cette métrique est utile pour comparer des chaînes où les informations peuvent ne pas être dans le même ordre et de longueurs éventuellement différentes. Cela fonctionne mieux pour les phrases telles que les messages, les descriptions, etc.

Détails	Description
Comment ça marche	L'algorithme du rapport d'ensemble de jetons suit quelques étapes pour comparer des chaînes : Tokenisez chaque chaîne (par exemple, « équipes DevOps et SRE » en « DevOps» et « équipes SRE» ; « équipe SRE et ingénieur DevOps » en « équipes SRE» et « ingénieur DevOps» ») Combinez les jetons qui se croisent dans une nouvelle chaîne, en laissant le jeton restant (par exemple, qui se croisent : « DevOps», « et », « SRE» ; reste1 : « équipes » ; reste2 : « équipe », « ingénieur ») Classez par ordre alphabétique chaque groupe de jetons (par ex. "et, DevOps, SRE ", "équipes", ingénieur, équipe") Comparez les paires de chaînes suivantes : Groupe d'intersection Groupe d'intersection + reste1 Groupe d'intersection + reste2 La comparaison de ces paires (« meilleures correspondances ») est le rapport d'ensemble de jetons flous et wuzzy.
Quand l'utiliser	Cette métrique est utile dans les cas où des chaînes similaires peuvent avoir des mots qui se chevauchent mais une construction différente ; par exemple, des descriptions d'événements pour différents problèmes avec la même ressource.
Inconvénients potentiels	Là où le wuzzy flou peut être trop conservateur, la correspondance de l'ensemble de jetons wuzzy flou peut être plus libérale que prévu avec les corrélations. Vous pouvez ajuster le seuil dans le générateur de décision en fonction de vos besoins.

Détails

Description

Comment ça marche

L'algorithme du rapport d'ensemble de jetons suit quelques étapes pour comparer des chaînes :

Tokenisez chaque chaîne (par exemple, « équipes DevOps et SRE » en « DevOps» et « équipes SRE» ; « équipe SRE et ingénieur DevOps » en « équipes SRE» et « ingénieur DevOps» »)
Combinez les jetons qui se croisent dans une nouvelle chaîne, en laissant le jeton restant (par exemple, qui se croisent : « DevOps», « et », « SRE» ; reste1 : « équipes » ; reste2 : « équipe », « ingénieur »)
Classez par ordre alphabétique chaque groupe de jetons (par ex. "et, DevOps, SRE ", "équipes", ingénieur, équipe")
Comparez les paires de chaînes suivantes :
Groupe d'intersection
Groupe d'intersection + reste1
Groupe d'intersection + reste2
La comparaison de ces paires (« meilleures correspondances ») est le rapport d'ensemble de jetons flous et wuzzy.

Quand l'utiliser

Cette métrique est utile dans les cas où des chaînes similaires peuvent avoir des mots qui se chevauchent mais une construction différente ; par exemple, des descriptions d'événements pour différents problèmes avec la même ressource.

Inconvénients potentiels

Là où le wuzzy flou peut être trop conservateur, la correspondance de l'ensemble de jetons wuzzy flou peut être plus libérale que prévu avec les corrélations. Vous pouvez ajuster le seuil dans le générateur de décision en fonction de vos besoins.

Cette métrique est utile pour les chaînes courtes où des préfixes identiques sont une forte indication de corrélation.

Détails	Description
Comment ça marche	Cette métrique utilise une échelle de 0 à 1 pour indiquer la similitude entre deux chaînes, où 0 correspond à aucune similitude (0 caractères correspondants entre les chaînes) et 1 est une correspondance exacte. La similitude Jaro-Winkler prend en compte : `matching`:deux caractères qui sont identiques et dans des positions similaires dans les chaînes. `transpositions`: correspondance des caractères qui sont dans un ordre de séquence différent dans les chaînes. `prefix scale`:la distance Jaro-Winkler est ajustée favorablement si les chaînes correspondent dès le début (un préfixe comporte jusqu'à 4 caractères).
Quand l'utiliser	Cette métrique est assez tolérante aux transpositions, mais les transpositions plus éloignées dans la corde sont moins utiles. Un nombre généralement sûr à utiliser pour la similarité Jaro-Winkler dans les chaînes modérées à longues est 0,9 ; vous pouvez utiliser `{~}0.85` dans les cas où une plus grande indulgence est acceptable (par exemple, si vous avez une autre logique plus spécifique dans la décision).

Détails

Description

Comment ça marche

Cette métrique utilise une échelle de 0 à 1 pour indiquer la similitude entre deux chaînes, où 0 correspond à aucune similitude (0 caractères correspondants entre les chaînes) et 1 est une correspondance exacte. La similitude Jaro-Winkler prend en compte :

matching:deux caractères qui sont identiques et dans des positions similaires dans les chaînes.
transpositions: correspondance des caractères qui sont dans un ordre de séquence différent dans les chaînes.
prefix scale:la distance Jaro-Winkler est ajustée favorablement si les chaînes correspondent dès le début (un préfixe comporte jusqu'à 4 caractères).

Quand l'utiliser

Cette métrique est assez tolérante aux transpositions, mais les transpositions plus éloignées dans la corde sont moins utiles.

Un nombre généralement sûr à utiliser pour la similarité Jaro-Winkler dans les chaînes modérées à longues est 0,9 ; vous pouvez utiliser {~}0.85 dans les cas où une plus grande indulgence est acceptable (par exemple, si vous avez une autre logique plus spécifique dans la décision).

Cette mesure est le plus souvent utilisée pour comparer de grands blocs de texte (par exemple, des descriptions incident ) et fournit une visualisation facile de la similitude.

Détails	Description
Comment ça marche	Pour chaque bloc de texte que vous comparez, un vecteur est calculé pour représenter le nombre de chaque mot unique dans le bloc. La distance cosinus des vecteurs résultants est leur produit scalaire divisé par le produit de leurs grandeurs.
Quand l'utiliser	Cette mesure est particulièrement utile pour comparer de longs blocs de texte, en particulier lorsque la comparaison vise à considérer le texte dans son ensemble, et non les différences ou les fautes d'orthographe dans les mots individuels.
Exemples	`It is not length of life, but depth of life. Depth of life does not depend on length.` Voici le nombre de mots pour ces phrases : `it 1 0` `is 0 1` `not 1 1` `length 1 1` `of 2 1` `life 2 1` `but 1 0` `depth 1 1` `does 0 1` `depend 0 1` `on 0 1` Et voici ces comptes représentés sous forme de vecteur : `[1, 0, 1, 1, 2, 2, 1, 1, 0, 0, 0] [0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1]` La distance cosinus de ces vecteurs est d'environ 0,9 (1 est la similarité la plus élevée).
Inconvénients potentiels	La distance cosinus est moins utile dans les situations où les petites différences de caractères dans les mots sont insignifiantes. De plus, la distance cosinus ignore l’ordre des mots dans les blocs de texte.

Pour plus d'informations sur la mise en œuvre de la distance cosinus, consultez la procédure détaillée sur blog.christianperone.com.

Cette mesure est utile pour les textes plus courts avec un schéma statique, mais elle ne fonctionne que pour les chaînes de même longueur.

Détails	Description
Quand l'utiliser	La distance de Hamming nécessite que les cordes comparées soient de longueur égale. Il s'agit d'une mesure de similarité utile pour les situations où la différence entre deux chaînes peut être due à des fautes de frappe, ou lorsque vous souhaitez comparer deux attributs avec des longueurs connues. Par exemple: `Low Disk Space in application myapp in data center us01` Si vous souhaitez être tolérant aux changements data center , la distance de Hamming doit être définie sur 4. Un cas d'utilisation moyen pour la distance de Hamming serait d'environ 2 à 3.
Exemples	Une version plus simple des métriques de « distance d'édition » comme la distance de Levenshtein, la distance de Hamming entre deux chaînes est le nombre de caractères de la chaîne qui ne correspondent pas (dans la même position). Par exemple, dans les chaînes ci-dessous, la distance de Hamming est de 2 : `flowers / florets`
Inconvénients potentiels	Dans l'exemple ci-dessus, si le nom application change à la place du data center, une corrélation serait également créée. À mesure que la distance augmente, l’utilité de la distance de Hamming diminue. Pour cette raison, pour tout ce qui est un peu plus compliqué que de tolérer les substitutions de 1 à 2 caractères (ou si les longueurs de chaîne ne correspondent pas), utilisez une mesure de similarité différente.

Détails

Description

Quand l'utiliser

La distance de Hamming nécessite que les cordes comparées soient de longueur égale. Il s'agit d'une mesure de similarité utile pour les situations où la différence entre deux chaînes peut être due à des fautes de frappe, ou lorsque vous souhaitez comparer deux attributs avec des longueurs connues. Par exemple:

Low Disk Space in application myapp in data center us01

Si vous souhaitez être tolérant aux changements data center , la distance de Hamming doit être définie sur 4. Un cas d'utilisation moyen pour la distance de Hamming serait d'environ 2 à 3.

Exemples

Une version plus simple des métriques de « distance d'édition » comme la distance de Levenshtein, la distance de Hamming entre deux chaînes est le nombre de caractères de la chaîne qui ne correspondent pas (dans la même position). Par exemple, dans les chaînes ci-dessous, la distance de Hamming est de 2 :

flowers / florets

Inconvénients potentiels

Dans l'exemple ci-dessus, si le nom application change à la place du data center, une corrélation serait également créée. À mesure que la distance augmente, l’utilité de la distance de Hamming diminue. Pour cette raison, pour tout ce qui est un peu plus compliqué que de tolérer les substitutions de 1 à 2 caractères (ou si les longueurs de chaîne ne correspondent pas), utilisez une mesure de similarité différente.

Cette mesure est utile pour comparer de grands blocs de texte, comme des descriptions ou un incident entier.

Détails	Description
Comment ça marche	La distance, exprimée en pourcentage (0 étant complètement similaire ; 1 étant totalement différent) est calculée avec la formule suivante : `1 - [(# of characters in both sets) / (# of characters in either set) * 100]` En d'autres termes, la distance de Jaccard est le nombre de caractères partagés divisé par le nombre total de caractères (partagés et non partagés). Une distance Jaccard de 0,1 signifie que 10 % ou moins de caractères entre deux incidents sont différents.
Quand l'utiliser	La distance de Jaccard est très facile à interpréter et particulièrement utile dans les cas avec de grands ensembles de données. Par exemple, en comparant la similitude entre deux incidents entiers (par opposition à un attribut).
Inconvénients potentiels	C'est moins efficace pour les petits ensembles de données ou les situations avec des données manquantes. De plus, les différentes permutations du jeu de caractères n'affectent pas la distance de Jaccard, donc veillez à éviter les faux positifs.

Détails

Description

Comment ça marche

La distance, exprimée en pourcentage (0 étant complètement similaire ; 1 étant totalement différent) est calculée avec la formule suivante :

1 - [(# of characters in both sets) / (# of characters in either set) * 100]

En d'autres termes, la distance de Jaccard est le nombre de caractères partagés divisé par le nombre total de caractères (partagés et non partagés). Une distance Jaccard de 0,1 signifie que 10 % ou moins de caractères entre deux incidents sont différents.

Quand l'utiliser

La distance de Jaccard est très facile à interpréter et particulièrement utile dans les cas avec de grands ensembles de données. Par exemple, en comparant la similitude entre deux incidents entiers (par opposition à un attribut).

Inconvénients potentiels

C'est moins efficace pour les petits ensembles de données ou les situations avec des données manquantes. De plus, les différentes permutations du jeu de caractères n'affectent pas la distance de Jaccard, donc veillez à éviter les faux positifs.

Opérateurs Regex

Lors de la construction d'une décision, les opérateurs disponibles incluent :

contains (regex): utilisé à l'étape 1 : Filtrez vos données.
regular expression match:utilisé à l'étape 2 : Corrélation contextuelle.

Le générateur de décisions suit les normes décrites dans ces documents pour les expressions régulières.

Pour que votre expression régulière soit testée comme vraie, la valeur entière de l'attribut (les données que vous évaluez) doit correspondre aux expressions régulières fournies. Les groupes capturés peuvent être utilisés mais ne sont pas explicitement évalués.

Par instance, si la valeur de l'attribut est foobarbaz, ces exemples répondraient aux critères et seraient testés comme vrais :

foo.*
^.*baz
\w+

Pour que votre expression régulière soit testée comme vraie, toutes les valeurs d'attribut pour l'incident 1 et l'incident 2 doivent être incluses dans la correspondance. De plus, chaque groupe capturé (expressions entre parenthèses ( )) doit exister dans les deux valeurs (attribut incident 1 et incident 2) et avoir la même valeur :

Le nombre de groupes capturés doit être égal pour les deux attributs incident .
Chaque groupe doit être égal au groupe correspondant entre les valeurs d'attribut : la valeur du premier groupe capturé dans la valeur d'attribut de l'incident 1 est égale à la valeur du premier groupe capturé dans l'attribut de l'incident 2.
Par instance, si la valeur d'attribut 1 est abc-123-xyz et la valeur d'attribut 2 est abc-777-xyz, alors (\w+)-(?:\w+)-(\w+) répondrait aux critères :
La valeur entière correspond à l'expression.
Les premier et troisième groupes capturés ont les mêmes valeurs respectives.
Le deuxième groupe n'est pas capturé à l'aide de ?:, ce qui permet à la valeur entière de correspondre mais n'est pas utilisé dans la comparaison du groupe de capture.

Assistant de corrélation

Vous pouvez utiliser l'assistant de corrélation pour analyser plus rapidement les incidents, créer une logique de décision et tester la logique avec une simulation. Pour utiliser l’assistant de corrélation :

Accédez à l’onglet one.newrelic.com > All capabilities > Alerts > Issues & activity > Incidents .
Cochez les cases des incidents que vous souhaitez corréler. Ensuite, au bas de la liste incident , cliquez sur Correlate incidents.
Pour de meilleurs résultats en matière de corrélation des incidents, sélectionnez un attribut commun avec un pourcentage de fréquence faible. En savoir plus sur l'utilisation de la fréquence.
Cliquez sur Simulate pour voir l’effet probable de votre nouvelle décision sur la dernière semaine de vos données.
Cliquez sur des exemples de paires de corrélations pour déterminer les corrélations à utiliser.
Si vous aimez ce qui a été simulé, cliquez sur Next, puis nommez et décrivez votre décision.
Si le résultat de la simulation montre trop d'incidents potentiels, vous souhaiterez peut-être choisir un autre ensemble d'attributs et d'incidents pour votre décision et exécuter une autre simulation. En savoir plus sur la simulation.

Deux types d’analyse d’attributs apparaissent dans l’ UI:

Common attributes: Cette analyse met simplement en évidence les attributs et les valeurs qui sont exactement les mêmes entre tous les incidents sélectionnés.
Similar attributes: L'analyse de similarité utilise l'algorithme de Levenshtein avec une distance de 3 pour trouver l'attribut dont les valeurs seraient les mêmes si 3 changements de caractères ou moins étaient effectués. Les valeurs numériques ainsi que les valeurs de caractère unique sont filtrées des résultats. Un attribut similaire nécessite la sélection de deux incidents ; l'analyse de similarité n'est pas effectuée lorsque 3 incidents ou plus sont sélectionnés.
Pour prendre les meilleures décisions, nous vous recommandons de choisir des attributs communs qui ont une fréquence plus faible dans votre incident. Voici quelques conseils pour comprendre comment le choix d’un attribut à faible ou à haute fréquence affecte vos décisions :
Low frequency: Par exemple, un attribut avec un 0 % dans la colonne de fréquence est probablement un identifiant unique ou un attribut qui n'a été signalé dans vos données que récemment au cours du mois dernier. Le choix d'un attribut de basse fréquence peut corréler quelques événements.
High frequency: À l’autre extrémité, un attribut avec une fréquence de 100 % serait celui qui est présent sur toutes vos données. Le choix de ces attributs mettra en corrélation l'ensemble de votre événement.
Par défaut, les attributs sont triés par fréquence la plus faible. Cliquez sur le pourcentage de fréquence d'un attribut pour obtenir des informations sur la distribution des valeurs que nous avons vues signalées pour cet attribut au cours du mois dernier.

Utilisation de la simulation

La simulation testera la logique par rapport à la dernière semaine de vos données et vous montrera combien de corrélations se seraient produites. Voici une ventilation des informations d'aperçu de décision affichées lorsque vous simulez :

Potential correlation rate: Le pourcentage d’incidents testés que cette décision aurait affecté.
Total created incidents: Le nombre d'incidents testés par cette décision.
Total estimated correlated incidents: Le nombre estimé d'incidents que cette décision aurait pu corréler.
Incident examples: Une liste de paires incident que la décision aurait corrélées, y compris l'attribut et les valeurs de la règle, ainsi que d'autres attributs populaires dans chaque paire. Cliquez sur l'incident pour voir les détails.

Exécutez la simulation avec différents attributs autant de fois que nécessaire jusqu'à ce que vous obteniez les résultats souhaités. Lorsque vous êtes prêt, suivez l’invite UI pour enregistrer votre décision.

Corrélation de topologie

Pour les alertes New Relic, la topologie est une représentation de votre carte de services : la manière dont les services et les ressources de votre infrastructure sont liés les uns aux autres.

Pour les décisions utilisateur, une décision de topologie par défaut est ajoutée et activée dans votre compte. Vous avez également la possibilité de créer des décisions personnalisées.

Notre corrélation topologique trouve des relations entre les sources incident pour déterminer si l'incident et donc leurs problèmes respectifs doivent être corrélés. La corrélation topologique est conçue pour améliorer la qualité de vos corrélations et la vitesse à laquelle elles sont trouvées.

Exigences

Pour une corrélation automatique de la topologie (sans avoir besoin de configurer explicitement le graphe de topologie), assurez-vous que vos données télémétriques sont collectées par l'agentNew Relic . Plus les types d'agents New Relic installés dans vos services et votre environnement sont nombreux, plus les possibilités de décisions topologiques permettant de corréler votre incident sont nombreuses.

Comment fonctionne la corrélation topologique ?

A screenshot of New Relic topology explained

Dans cette carte de service, les hôtes et les applications sont les sommets et les lignes montrant leurs relations sont les arêtes.

Pour configurer votre topologie en plus de l'entité et des relations collectées par l'agentNew Relic , utilisez notre APINerdGraph.

La corrélation de topologie personnalisée repose sur deux concepts principaux :

Vertex: Un sommet représente une entité de monitoring. Il s'agit de la source d'où provient votre événement incident ou décrivant un symptôme problématique. Un sommet possède des attributs (paires valeur-clé) configurés pour lui, comme un GUID d'entité ou d'autres identifiants, qui lui permettent d'être associé à un événement incident entrant.
Edges: Une arête est une connexion entre deux sommets. Les arêtes décrivent la relation entre les sommets.

Il peut être utile de comprendre comment la topologie est utilisée pour corréler les incidents :

Tout d’abord, New Relic rassemble tous les incidents pertinents. Cela inclut les incidents où les étapes 1 et 2 de la logique de décision sont vraies et qui se situent également dans la fenêtre temporelle définie dans les paramètres avancés.
Ensuite, nous essayons d’associer chaque incident à un sommet de votre graphique topologique, en utilisant l’attribut de définition d’un sommet et l’attribut disponible sur l’ incident.
Un exemple des étapes permettant d’associer un incident aux informations du graphique topologique.
Ensuite, les paires de sommets associés à l'incident sont testées à l'aide de l'opérateur « topologiquement dépendant » pour déterminer si ces sommets sont connectés les uns aux autres.
Cet opérateur vérifie s'il existe un chemin dans le graphique qui relie les deux sommets en cinq sauts.
Les incidents sont ensuite corrélés et les problèmes sont fusionnés.

Ajouter un attribut à l'événement incident

les incidents sont connectés aux sommets à l'aide de l'attribut définissant un sommet. (Dans l'exemple de topologie sous Topologie expliquée, chaque sommet possède un attribut de définition « CID » avec une valeur unique.) Ensuite, le système d’alertes de New Relic trouve un sommet qui correspond à l’attribut.

Si l'attribut de définition que vous souhaitez utiliser sur vos sommets n'est pas déjà présent sur votre événement incident , utilisez l'une de ces options pour l'ajouter :

Créer ou afficher la topologie

Pour configurer votre topologie ou afficher la topologie existante, consultez le didacticiel sur la topologie NerdGraph.

Cette traduction automatique est fournie pour votre commodité.

Configurer la logique de corrélation avec les décisions

Qu’est-ce que la corrélation et comment fonctionne-t-elle ? .css-21sua1{background:none;border:none;width:0;padding:0;}

Configurer la politique de corrélation

Types de décisions

Passez en revue vos décisions actives

Configurer les sources

Aporia (MLOps)

Superwise (MLOps)

REST API

Décisions mondiales

Utiliser les décisions suggérées

Créer des décisions personnalisées

Éléments de décision

Générateur de décision de base

Étape 1 : Corrélation par attribut

Voir une capture d'écran UI

Étape 2 : Filtrer par valeurs spécifiques

Voir une capture d'écran UI

Étape 3 : Filtrer par entité liée

Voir une capture d'écran UI

Étape 4 : définir la plage de temps de corrélation

Voir une capture d'écran UI

Étape 5 : Tester votre décision à l’aide d’une simulation

Voir une capture d'écran UI

Étape 6 : Nommez et enregistrez votre décision

Voir une capture d'écran UI

Générateur de décision avancé

Étape 1 : Filtrez vos données

Voir une capture d'écran UI

Étape 2 : Corrélation par attribut

Voir une capture d'écran UI

Étape 3 : Corrélation par entité liée

Voir une capture d'écran UI

Étape 4 : Donnez-lui un nom

Conseil

Voir une capture d'écran UI

Étape 5 : Utiliser les paramètres avancés

Voir une capture d'écran UI

Opérateurs logiques

Algorithmes de similarité

Distance de Levenshtein

Score flou

Rapport flou wuzzy

Rapport partiel flou et flou

Rapport de jeu de jetons Fuzzy Wuzzy

Distance Jaro-Winkler

Distance cosinus

Distance de Hamming

Distance Jaccard

Opérateurs Regex

Regex à l'étape 1

Regex à l'étape 2

À propos des drapeaux

Assistant de corrélation

analyse des attributs

Utilisation de la simulation

Corrélation de topologie

Exigences

Comment fonctionne la corrélation topologique ?

Ajouter un attribut à l'événement incident

étiquetez votre entité dans New Relic

étiquetez votre entité dans New Relic

Créer ou afficher la topologie

Qu’est-ce que la corrélation et comment fonctionne-t-elle ?