为什么需要降噪
| 场景 | 无降噪 | 有降噪 |
|---|---|---|
| 服务器宕机触发 100 条告警 | 收到 100 条通知,需逐条处理 | 收到 1 条故障,统一处理 |
| 网络抖动导致告警反复触发/恢复 | 通知轰炸,疲于应对 | 标记抖动状态,减少干扰 |
| 凌晨批量告警 | 被电话/短信吵醒多次 | 仅通知一次,睡眠不受影响 |
核心概念
理解降噪前,需要先了解三个核心对象的关系:| 对象 | 定义 | 来源 |
|---|---|---|
| 事件 | 监控系统的原始通知,每次触发或恢复都是一次事件 | Zabbix、Prometheus 等 |
| 告警 | 由事件自动触发,同一告警的多次事件会合入同一条告警 | Flashduty 自动创建 |
| 故障 | Flashduty 处理的主要对象,由告警触发或手动创建 | 自动触发或手动创建 |
关键理解:
- 一条告警可以包含多个事件(同一告警的触发、恢复)
- 一条故障可以包含多条告警(相似告警被聚合到一起)
- 降噪发生在「告警 → 故障」这个环节
降噪过程
当监控系统推送告警到 Flashduty On-call 时,系统会自动执行以下流程:
告警聚合
进入 协作空间详情 → 降噪配置 进行配置。 告警聚合将多条相似告警合并为一条故障,统一分派和通知。当告警风暴来袭时,您只需处理一条故障,而非数百条重复通知。新建协作空间默认关闭告警聚合。未开启时,每条告警将创建一条独立故障。
聚合模式
Flashduty On-call 提供两种聚合模式:| 模式 | 适用场景 | 特点 |
|---|---|---|
| 智能聚合 | 快速上手,对聚合精度要求不高 | 基于机器学习分析语义相似度,无需手动配置规则 |
| 规则聚合 | 需要精确控制聚合逻辑 | 按指定维度(属性、标签)精确匹配 |
通用配置
| 配置项 | 说明 |
|---|---|
| 聚合窗口 | 可选开启。关闭时,将持续合入新告警,直到故障被关闭。开启时,聚合窗口内的告警会被合入,超出时间范围后告警将被聚合到新的故障 |
| 窗口计时起点 | 仅在聚合窗口开启时可配置。故障触发(默认):从故障创建时开始固定计时,到达窗口时长后停止聚合;告警合入故障:每次有新告警合入时重置计时,窗口从最后一次合入开始重新计算 |
| 窗口时长 | 仅在聚合窗口开启时可配置。设置聚合窗口的持续时间,最小 1 分钟。规则聚合与智能聚合共享同一上限开关:默认最大 24 小时,开通后可扩展至 30 天(需联系 Flashduty 团队开启) |
| 风暴预警 | 当合入告警数达到设定阈值时,系统在故障时间线中记录告警风暴事件并触发预警通知,提醒您加急处理。支持配置最多 5 个阈值,每个阈值范围为 2 - 10,000 |
| 严格聚合 | 开启时,空值标签视为不同项;关闭时,空值标签视为相同项(智能聚合不支持) |
- 智能聚合
- 规则聚合
配置限制
为保证聚合性能与稳定性,以下字段存在后端硬上限:| 聚合模式 | 限制项 | 上限 | 说明 |
|---|---|---|---|
| 规则聚合 | 聚合维度(equals) | 每组 ≤ 5 个 | 统一控制与细粒度控制中单条规则可选的维度数量 |
| 规则聚合 | 细粒度分支(cases) | ≤ 100 条 | 细粒度控制下可配置的条件分支总数 |
| 智能聚合 | 参与相似度计算字段(i_keys) | ≤ 10 个 | 默认 4 个:title、description、labels.service、labels.resource |
聚合效果
设置按 告警检查项 聚合后,5 条告警通知被聚合为 1 条故障:- 点击告警标题,查看告警时间线和关联事件
- 点击事件点,查看事件上报的具体内容
抖动检测
当同一故障频繁触发与恢复时,系统将其标记为”抖动”状态,避免通知轰炸。 进入 协作空间详情 → 降噪配置 → 抖动检测:| 选项 | 行为 |
|---|---|
| 关闭 | 不检测抖动状态 |
| 仅提醒 | 标记抖动状态,继续按策略通知 |
| 提醒后静默 | 标记抖动状态,首次提醒后不再通知 |
新建协作空间默认开启抖动检测(仅提醒模式)。
可配置参数
| 参数 | 说明 | 默认值 | 取值范围 |
|---|---|---|---|
| 状态变化次数 (max_changes) | 在观测窗口内,告警状态变化达到该次数即判定为抖动 | 4 次 | 2–100 |
| 观测窗口 (in_mins) | 统计状态变化的时间窗口 | 60 分钟 | 1–1440 分钟 |
| 静默时长 (mute_mins) | 判定为抖动后,静默通知的持续时间(仅”提醒后静默”模式生效) | 120 分钟 | 30–1440 分钟 |
静默策略
在维护窗口或已知问题期间,静默规则可以屏蔽特定条件的告警通知。 进入 协作空间详情 → 降噪配置 → 静默规则。静默时间
| 类型 | 说明 |
|---|---|
| 单次静默 | 指定时间段内生效,过期后规则保留但不再生效 |
| 周期静默 - 星期模式 | 按每周固定时间段生效,如每周六 00:00-06:00 |
| 周期静默 - 日历模式 | 按 服务日历 的工作日/休息日生效 |
静默条件
定义哪些告警需要被静默,支持多条件组合。| 匹配项 | 说明 | 示例 |
|---|---|---|
| 严重程度 | 按告警级别匹配 | 仅静默 Info 级别 |
| 标题 | 按告警标题关键词匹配 | 标题包含「计划维护」 |
| 描述 | 按告警描述内容匹配 | 描述包含「重启」 |
| 集成来源 | 按告警的集成来源匹配 | 仅静默来自某个集成的告警 |
| 标签 | 按标签键值对匹配 | host=db-master-01 |
- AND:所有条件同时满足才静默
- OR:任一条件满足即静默
静默行为
| 行为 | 说明 |
|---|---|
| 直接丢弃 | 告警不在任何列表显示,无记录 |
| 保留标记 | 告警在 原始告警列表 中显示并标记为”静默”,可筛选查看 |
快速静默
基于已发生的故障快速创建临时静默规则。 操作路径:故障详情 → 更多操作 → 快速静默- 规则名称默认为「快速静默 - #短标识」,描述中包含故障标题
- 生效范围为故障所属协作空间(不可更改)
- 默认生效 1 小时,可在 30 分钟 / 1 小时 / 12 小时 / 1 天 / 1 周 / 2 周 之间选择,到期后自动删除
- 条件默认为故障严重程度和筛选后的标签匹配(自动排除数值型、过长及特殊标签)
同一故障重复操作快速静默时,会编辑原规则而非创建新规则。
抑制策略
当根因告警存在时,自动抑制相关的次要告警。例如:Critical 级别故障存在时,抑制同一检查项的 Warning/Info 级别故障。配置路径
| 位置 | 路径 | 特点 |
|---|---|---|
| 协作空间 | 协作空间详情 → 降噪配置 → 抑制规则 | 仅对当前协作空间的告警生效 |
| 告警集成 | 告警集成详情 → 告警处理 → 告警抑制 | 对通过该集成接入的告警生效 |
抑制条件
当新告警满足条件,且 10 分钟内存在满足条件的 活跃告警(未被认领且未恢复的告警),且两者存在相同项时,新告警被抑制。| 配置项 | 说明 |
|---|---|
| 新的告警条件 | 被抑制告警需满足的条件,如严重程度为 Warning/Info |
| 活跃告警条件 | 作为抑制源的告警需满足的条件,如严重程度为 Critical |
| 相同项 | 两者必须相同的属性或标签,如检查项、主机名 |
抑制行为
| 行为 | 说明 |
|---|---|
| 直接丢弃 | 告警不在任何列表显示,无记录 |
| 保留标记 | 告警在 告警列表 中显示并标记为”抑制”,可筛选查看 |
配置示例
场景:当存在 Critical 级别告警时,抑制同一检查项的 Warning/Info 级别告警。
常见问题
故障标题会随新告警合入而改变吗?
故障标题会随新告警合入而改变吗?
不会。故障标题与触发该故障的第一条告警相同,可随时手动修改,不会随新告警变化。
故障标签会随新告警合入而改变吗?
故障标签会随新告警合入而改变吗?
- 手工创建的故障:不会,标签列表永远为空
- 自动触发的故障:有可能,故障标签与第一条告警保持一致,如果该告警标签变化,故障标签也会同步更新
告警标签会随新事件合入而改变吗?
告警标签会随新事件合入而改变吗?
会。告警标签总是与最新合入的事件保持一致。但如果新事件是恢复事件,告警将保持已有标签不变,仅增加之前不存在的标签。
单个故障最多聚合多少条告警?
单个故障最多聚合多少条告警?
上限为 5000 条,主要为了保证控制台渲染性能。由于后台并发处理,实际可能略超此限制。
单个告警最多关联多少条事件?
单个告警最多关联多少条事件?
- 规则聚合 / 智能聚合:无上限,聚合窗口默认最大为 24 小时;规则聚合与智能聚合共享同一上限开关,开通后可扩展至 30 天(需联系 Flashduty 团队开启)。告警超出窗口后不再合入新事件,新事件将产生新故障
- 如果关闭了聚合窗口,告警将持续合入已有故障,直到故障被关闭,不受时间限制
延伸阅读
配置分派策略
定义告警通知和升级规则
配置过滤条件
了解条件匹配语法