Alerts实时

1）宗旨和原则

目标：及时、准确、有针对性地将威胁到SLO、收入和合规性的事件通知适当的人员/系统,并运行正确的操作（手动/自动）。

原则： SLO-first,噪音最小化,可解释性,上下文,业务影响优先级,"一个信号-一个可理解的行动。"

2）信号分类

SLO信号：按关键路径（登录、存款、出价、出价）计算预算误差。
KRI：早期风险指标（按银行/GEO计算，PSP的成功率下降，消费者的增长，p99↑）。
事件：依赖性刀片，失败者，手动切换，保护触发（rate-limit，WAF）。
安全/合规性：敏感操作激增，PII出口，SoD违规。

3）警报级别和SLA

4）上下文的来源和相关性

遥测：度量/tres/logi，合成和RUM。
目录：CMDB/服务 mapa，所有者，依存关系。
更改：版本，fichflags，迁移，计划工作。
外部提供商：PSP/KYC/游戏工作室/CDN/WAF状态。
每个警报都丰富：附近发生了什么变化？（版本/fichflag），哪些依赖性是红色的？哪些细分市场会受到影响？（GEO/PSP/银行/tenant）。

5）SLO-alerting规则（内核）

Burn-rate：两个窗口（快速1小时和缓慢6-24小时）。传呼机-仅在同时超过时。
Guardrails： p99/error-rate的阈值仅用作上下文分析的触发器,不能取代SLO。
影响：评分"受众份额×金钱/分钟×监管"→ P1-P4水平。

6）噪声抑制

重复数据消除：按服务/tenant/原因分组；我们打破一个事件而不是几十个信号。
滞后：N-M确认,异常的最小持续时间。
Sylens/Mutes：计划工作，已知事件，"追随太阳"窗口。
限制和配额：源/标签/tenant；防御风暴。
基数降低：alert标签中禁止使用userId/sessionId。

7）路由和升级

上下文漫游：域（Payments/Games/Core），环境（prod/stage），区域，严重性。
升级：t0-通话L1；t0+X-L2/域名所有者；t0+Y-IC/手册。X/Y时间取决于P1-P3。
通道重复：P1时的pager+聊天；P3 的聊天/tiket。
更改：上下文的自动传递（时间线、执行的动作、假设）。

8）自动动作（自动修复）

付款：将PSP切换为健康× fee ×转换，限制银行/方法，带紧缩器的转发。

游戏/投注： 在前面启用缓存/限制写操作,queue-page/waiting-room.

Infra：交通疏散，重新启动退化的窃听者，跨栏缩放。
安全/合规性：暂时关闭PII导出,引入P1操作的双控制。
任何自动操作-带有回滚策略和返回标准。

9）Runbook-第一次体验

每个警报都与运行手册相关联：目标，快速诊断（3-5次检查），虚假/回滚步骤，联系人，指向行车记录仪和状态页的链接。在聊天/寻呼机中，我们显示一个简短的动作卡。

10）他叫政治家

24 × 7轮换，域覆盖（Payments/Game Core/SRE）。
P1的"第二次通话"，在酒吧里有两个人的规则。
Quiet-hours和按区域值班的窗口（追随太阳）。
培训：季度演习（tabletop/game-day），阴影转换。
事后学分（comp时间），以避免倦怠。

11）整合

事件管理：自动卡制作，升级磁带，IC/CL角色，计时器。
状态页面：发布带有模板和本地化的P1/P2（通过Comms Lead）。
发行版本：通过SLI，自动停止/在警报中回滚。
目录：所有者，CMDB，提供商联系人。

12） Alertes示例（iGaming）

1.10分钟PSP-1 TR↓成功率为25%

P2→P1覆盖范围>30%的交易。
自动行动：重新分配PSP-2/3流量；包括简化的3 DS；Alert Partner Manager。

2.p99 "stavka→settl"> 3 ×欧盟规范

原因：lag复制,workers队列。
自动动作：滑出窃听器，高速缓存warmup，暂时关闭非关键字。

3.Export PII spikes

没有滴答声/批准的P1。
自动操作：卸载单元、Compliance通知、SoD检查。

13）优化质量度量（KPI/KRI）

MTTA-Coms/MTTA-Ops：反应/第一作用前的时间。
Precision/Recall（警报↔事件）,False警报率。
在违反SLO，TTD（检测时间）之前处于领先地位。
Pager fatigue：alerts/chel/ned.，夜间呼叫，"假人"百分比。
自动修复率：没有人的自动反应关闭的问题比例。
Aging：挂起的P3/P4> X天的比例。

14）成本管理

Alerta/source配额，切断多余的标签。
Downsampling和指标聚合，路径采样；按年级分列。
常规成本评论：$/alert，$/SLI-dashbord，"沉重"系列。

15）隐私和合规性

Alert文本和标签中没有PII；ID令牌化。
访问策略（RBAC/ABAC），警报配置上的SoD。
审核规则更改，验证，测试和测验。

16）实施路线图（6-10周）

奈德。1-2：SLI/KRI目录，所有者地图，P1-P4级别，第一个SLO规则（burn-rate）。
奈德。3-4： 滞后/滞后/sylens,与事件系统和聊天室集成,运行手册捆绑。
奈德。5-6： Payments/Queues, release-gates,状态页码的自动动作。
奈德。7-8：背景（版本/fichflagi/提供商），PSP热卡×银行× GEO，演习P1/P2。
奈德。9-10：FinOps评分，KPI-dashbords，阈值和配额修订，上课培训。

17）工件和模板

警报规格：度量/条件,窗口,抑制,所有者,运行手册,自动操作。
路由图：domen→kanal→eskalatsii，备用联系人。
沉默政策：可能包括的Mute规则（计划/已知事件）。
电话手册：轮换，轮班，P1/P2支票单，频道。
后事件包：排气口/时间线,信号质量分析。

18）反模式

没有SLO的"原始"p95/p99寻呼机→噪音和疲劳。
数十个信号是相同的（没有重复数据/相关性）。
缺少Alert的运行簿或所有者。
无季节性/分段的"石头"阈值（GEO/PSP/银行/小时）。
自动动作后不返回（没有滚回标准）。
带有PII和userId的标签→风险和基数爆炸。

结果

真正有用的选择是以SLO为中心的传送带：具有燃烧速度的上下文规则，智能噪声抑制，清晰的路由和升级，运行手册第一体验和安全自动操作。这样的轮廓会比用户更快地捕获关键事件，降低MTTR，保护收入并同时节省"寻呼机地狱"例程。