履歴的異常

「履歴的異常」条件は、シグナルが過去の同じ期間と異なる場合にアラートを発します(周期的データまたは季節的データの場合)

履歴的異常では、シグナルが過去の同じ期間と異なる場合にアラートがトリガーされます(周期的データまたは季節的データの場合)。履歴的異常アラート条件は、既知の固定期間で繰り返されるパターンのメトリックを監視するために使用します。パターンが繰り返される期間を指定するには、[Cycle length] パラメータを使用します。

  • たとえば現在の環境では、一般的に月曜日の朝の方が金曜日の夜よりもログイン数が多いなど、同時ログイン数に週ごとのパターンがあります。[Cycle length] を 1w に設定します。

  • 季節ごとの売り尽くしセールを行う業態では、3 か月に一度売上が急増します。この場合、[Cycle length] を 13w に設定します。

  • 増分バックアップを 12 時間ごとに開始する環境では、ディスクの読み取り回数がそのたびに急増します。この場合、[Cycle length] を 12h に設定します。

基本的な設定

パラメータ

備考

Cycle length

>= 1 の整数の後に時間を表す指標(s、m、h、d、w)を付けます。例:30s、10m、2h、5d、1w この値は、ネイティブ解像度を大きく上回るように設定します。

シグナルのサイクルを表す時間範囲。たとえば、値が 1w の場合は、そのシグナルが週次サイクルに従っていることを示します。値が 1d の場合は、そのシグナルが日次サイクルに従っていることを示します。

サイクル長は、[Current window] パラメータで表される、データ比較に使用される時間枠の期間と連動します。現在の時間枠のデータを、[Number of previous cycles] パラメータの値に応じて 1 つ以上前のサイクルのデータと比較し、履歴的異常を検出します。

たとえば、現在の時間枠が 1h で、サイクル長が 1w の場合、過去 1 時間のデータ([-1h, now])と、[-1w1h, -1w] 時間、[-2w1h, -2w] 時間などのデータが比較されます。

Alert when

Too highToo lowToo high or Too low

アラートは、シグナルがしきい値を上回っている、しきい値を下回っている、または指定された範囲外になっている(偏差が標準値を 3.5 上回る/下回る、標準値を 30% 上回る/下回るなど)場合にトリガーされます。標準値からの標準偏差または標準値とのパーセンテージ差に基づいて異常を指定するには、[Custom sensitivity] を選択してから [Normal based on] パラメータを選択します。

Trigger Sensitivity

LowMediumHighCustom

アラートのトリガー頻度の目安。[Low] を選択するとアラートのトリガー頻度は低下しり、アラートが解除されるまでの時間が長くなります(フラッピングが最小)。トリガーと解除の感度を決定する設定を変更するには、Custom を選択します(以下にリスト)。

詳細な設定

パラメータ

備考

Normal based on

Mean plus standard deviationMean plus percentage change

シグナルの短期的な変動がシグナルのスケールに対して小さく、そのスケールがある程度自然である場合は、Mean plus percentage change の使用を推奨します。Mean plus standard deviation を使用すると、標準偏差の数が大きい場合にもアラートが発生する可能性があります。また Mean plus percentage change は、ビジネス上の直接的な解釈が可能なメトリックに対し推奨されます。たとえば、user_sessions が 20% 減少すると、収益は 5% 減少します。

Current window

>= 1 の整数の後に時間を表す指標(s、m、h、d、w)を付けます。例:30s、10m、2h、5d、1w この値は、サイクル長より短く、ネイティブ解像度を大きく上回るように設定します。

データを比較する対象となる時間範囲。これは、移動平均の時間枠と考えることができます。値が大きいほど、より多くのデータポイントの平均が計算され、一般的に値が平滑化されます。このため感度が低下し、アラート数が減少する可能性があります。

Number of previous cycles

>=1 かつ <= 8の整数

サイクルの長さに連動します。過去の標準値またはベースラインの設定に使用するサイクルの数。たとえば、サイクル長が 1w の場合、この値は、過去の標準値を計算するときに使用するそれまでの週の数を指定します。最後の週の標準値を考慮するには値 1 を使用します。過去 4 週間の標準値の平均を考慮するには値 4 を使用します。値が大きいほど、ベースラインを定義するためにより多くのデータが使用されます。

[Trigger threshold] および [Clear threshold]([Normal based on] が Mean plus standard deviation の場合)

>= 0の数値。解除の閾値はトリガーの閾値より低くする必要があります

アラートのトリガーおよび解除のために必要な、基準からの標準偏差の数。

たとえば、トリガーの値が 3.5 の場合、比較対象の値との差が 3.5 標準偏差以上になるとアラートがトリガーされます。値が大きいほど感度が低下し、アラートが少なくなる可能性があります。

解除の値が 2.5 の場合、比較対象の値との差が 2.5 標準偏差以下になるとアラートが解除されます。値が大きいほど、アラートの解除に必要な時間が長くなります。

[Trigger threshold] および [Clear threshold]([Normal based on] が Mean plus percentage change の場合)

0~100の数値(0と100を含む)。解除の閾値はトリガーの閾値より低くする必要があります。

アラートのトリガーまたは解除に必要な変化のパーセンテージ。

たとえば、トリガーの値が 30 の場合、比較対象の値との差が 30% 以上になるとアラートがトリガーされます。値が大きいほど感度が低下し、アラートが少なくなる可能性があります。

解除の値が 20 の場合、比較対象の値との差が 20% 以下になるとアラートが解除されます。値が大きいほど、アラートの解除に必要な時間が長くなります。

Ignore historical extremes

YesNo

[Number of previous cycles] が 3 以上の場合にのみ該当します。

[Normal based on] が Mean plus percentage change の場合は、Yes に設定すると履歴ベースラインの中央値になり、No に設定するとその平均値になります。

[Normal based on] が Mean plus standard deviation の場合は、Yes に設定すると、平均値が最大のサイクルと最小のサイクルが除外され、No に設定するとそれらが含まれます。

一般的には、Yes が推奨されます。例えば、先週インシデント発生した場合、その関連データを閾値の計算から除外することで、シグナル測定の比較基準となる「正常」の挙動をより正確に表すことができます。

参考

パラメータ

備考

サイクル長と現在のウィンドウ

この両パラメータは、ネイティブ解像度より大幅に大きく設定します。

現在のウィンドウとネイティブ解像度

現在の時間枠とネイティブ解像度の比率が小さい場合、ローリング標準偏差が小さくなる可能性があります。そのような場合には、Mean plus percentage change を使用するとより良い結果が得られる可能性があります。

シグナル

このアラート条件は、ローリング平均に標準偏差を加えたものをシグナルに適用するため、シグナルに適用される他の変換との相互作用が悪くなる可能性があります(例えば、カウントが重複したり、標準偏差が小さくなったりする可能性があります)。