Почему больше алертов не значит лучше, и что такое Alert Fatigue?
Привет, %username%! На BigTechNight 2025 прозвучала цифра, которая меня зацепила: одна из команд Cloud.ru получала более 500 алертов в Telegram в день, из которых около 20% составляли дубликаты. К сожалению, это не исключение, а суровая норма для многих команд, всерьез занимающихся инфраструктурой.
И вот в чем парадокс: чем больше алертов мы получаем, тем хуже на них реагируем. Это явление называется Alert Fatigue (усталость от алертов).
Почему это системная проблема?
Усталость от алертов — это состояние, когда поток уведомлений настолько плотный, что мозг перестает воспринимать их как сигналы об опасности. Инженер игнорирует алерты не из-за лени, а потому что подавляющее большинство из них — это дубли, ложные срабатывания или просто информационный шум, с которым прямо сейчас ничего не сделаешь.
Это как жить рядом с машиной, у которой слишком чувствительная сигнализация: через неделю ты перестаешь ее слышать, и когда машину реально угоняют — ты этого просто не замечаешь.
Откуда берется этот шум? Вот основные причины, по которым мы сами загоняем себя в ловушку:
- Отсутствие порогов и контекста: система кричит на любое отклонение (например, CPU 80% — это катастрофа или просто запустился плановый бэкап?).
- Отсутствие дедупликации: один сбой генерирует десятки уведомлений, потому что никто не настроил группировку в Alertmanager.
- Алерты-зомби: уведомления висят неделями в статусе FIRING, все к ним привыкли, но никто их не чинит и не отключает.
- Реакция на симптом, а не на причину: мониторинг засыпает вас последствиями, выдавая 15 алертов вместо одного, не указывая на корневую проблему.
Как с этим бороться и что делать?
Алертинг — это не просто рассылка пушей в мессенджер. Это система принятия решений под давлением. Чтобы вытащить команду из перегруза, стоит применять следующие принципы:
- Алерт = действие. Если на срабатывание нет конкретного шага из runbook'а, алерт не нужен. Все, что «просто интересно посмотреть», должно лежать в дашбордах, а не будить дежурного в 3 часа ночи.
- Строгая приоритизация. P1 — будим сейчас, P2 — разбираемся в течение часа, P3 — смотрим утром. Это должно быть явно прописано и понятно всей команде.
- Группировка и дедупликация. Настройте Alertmanager: группируйте по лейблам, используйте правила для подавления дочерних алертов при срабатывании родительского, ставьте silence на время плановых работ.
- Регулярный аудит. Раз в квартал смотрите на статистику. Если по алерту никто ничего не делал — удаляйте его или переводите в метрику. Обычно 30-40% уведомлений можно снести без потери качества мониторинга.
- Проактивность вместо реактивности. Лучший алерт — тот, который сообщил не о проблеме сейчас, а реальной возможности ее возникновения в будущем, потому что аномалию заметили раньше через автоматический анализ трендов на дашборде.
Alert fatigue убивает самое важное — доверие к системе мониторинга. Инфраструктура, которая кричит постоянно, становится инфраструктурой, которую никто не слушает. А значит, пропуск реального инцидента — лишь вопрос времени.
Делись опытом в комментариях! Сколько алертов в день получает твоя команда? Есть ли у вас практика аудита алертов, или они живут вечно, пока кто-то не психанет и не удалит их? Что из практик уже внедрили, а что пока кажется сложным?
#SRE #DevOps #Observability #Alerting #Monitoring #AlertFatigue #IncidentManagement
· 27.04
500 алертов в день в тг-чат это классика. у меня был момент когда Celery beat начал флапать и улетало по 30-40 алертов в минуту на пустом проекте. первый рефлекс - заглушить, а надо было разобраться. алерт-фатига реальна: за неделю привыкаешь игнорировать, потом пропускаешь настоящую проблему
ответить
коммент удалён