Реалдуу убакытта сигналдарды иштетүү

1) Максаты жана бизнес баалуулугу

• Antifrod/AML: депозиттерди структуралаштыруу, "муллалоо", velocity-кол салуу.
• Responsible Gaming (RG): чектен чыгуу, тобокелдик-жүрүм-турум үлгүлөрү.
• Тобокелдик/Комплаенс: онлайн каттоодо/транзакцияда санкциялык скрининг.
• Персонализация: триггерлер бонустар/миссиялар, реактивдүү кампаниялар.
• Операциялар/SRE: SLA деградациясы, каталар, метриктердин аномалиялары.

Негизги максаттары: төмөн кечигүү (p95 0. 5-5 с), жогорку толуктугу (≥ 99. 5%), жарылууга туруктуулугу.

2) Сигналдардын таксономиясы

Транзакциялар: 'payment. deposit/withdraw/chargeback`.
Оюн: 'game. bet/payout`, `game. session_start/stop`.
Аутентификация: 'auth. login/failure ', түзмөктөрдү алмаштыруу/гео.
Жүрүм-турум: коюмдардын ылдамдыгы, сумманын экспоненциалдык өсүшү, түнкү активдүүлүк.
Операциялык: 'api. latency`, `error. rate ', "бороон-чапкын" этек кайра баштоо.

Ар бир түрү схемасы бар, ээси (домен owner), сын, SLO жана эрежелери "late data".

3) Эталондук архитектура реалдуу убакыт контур

1. Ingest жана шина: HTTP/gRPC → Edge → Kafka/Redpanda ('user _ id/tenant' боюнча партиялаштыруу).
2. Streaming-движок: Flink/Spark Structured Streaming/Beam; stateful-операторлор, CEP.
3. Онлайн байытуу: lookup-таблицалар (Redis/Scylla/ClickHouse Read-Only), провайдерлердин кэши (санкциялар/KUS).

• Алерт-Топик/Кью (case-management, SOAR).
• Fichestor онлайн (скоринг моделдер).
• Gold стрим-витриналар (оперативдүү дашборддор).
• тез аналитика үчүн "жылуу" сактоо (ClickHouse/Pinot/Druid).
• 5. Archive/Forensics: Lake (Parquet, time-travel) өзгөрүлбөс бүктөө.
• 6. Байкоо: Trace/метрика/Логи + сызык.

4) Терезелер, watermarks жана "late data"

• Tumbling: туруктуу терезелер (мисалы, 1 мин) - жөнөкөй агрегаттар.
• Hopping: бири-бирин кайталоо (мисалы, 30s кадам, терезе 2 мин) - "жылмакай" метриктер.
• Session: Activity ажырым - жүрүм-турум талдоо.
• Watermarks: event-time үчүн "убакыт билим" чек; кечигип жол (allowed lateness, мисалы,, 2 мин).
• Кечигип стратегиялар: кошумча эмиссия түзөтүүлөр, "late = true", DLQ.

5) Stateful операторлору жана дедупликация

'user _ id', 'payment. account_id`, `device_id`.
Абалы: сумматорлор, жылма эсептегичтер, idempotency үчүн bloom-чыпкалар.
Дедуп: сактоо '(event_id, seen_at)' state/kv; TTL = 24-72 саат.
Exactly-Once: транзакциялык sink 'i (2-phase), демпотенттик upsert-операциялар.

6) агымын байытуу

Lookup-джойндор: RG чектери, колдонуучунун тобокелдик ылдамдыгы, KYC деңгээли, гео/ASN.
Асинхрондук чалуулар: санкциялык реестр/антифрод-провайдерлер (async I/O, таймауттар жана fallback).
Валюталарды/таймзондорду нормалдаштыруу: UTC жана базалык валютага бириктирүү; 'fx _ source'.

7) CEP: татаал үлгүлөрүн аныктоо

• Structuring: 10 мүнөттө 3 депозиттик ≥, ар бир <отчет босогосу, бардыгы болуп> X.
• Device-switch: 3 ар кандай түзмөктөр 15 мүнөт + IP/ASN өзгөртүү.
• RG-fatigue: 1 саат үчүн жалпы чендер> лимит + жоготуу ≥ Y.
• Ops-storm: p95 latency> 2 × негизги, 5xx> 3% 5-мин терезеде.

CEP Flink CEP/SQL же окуя үлгүлөрүнүн китепканаларында билдирүүгө ыңгайлуу.

8) Онлайн чүчүкулак жана моделдер

Feature pipelines: эсептегичтер, velocity-метриктер, "акыркы окуядан бери убакыт", share-of-wallet.
Online/offline ырааттуулугу: бир коддук трансформация базасы; репродуктивдүү тесттер.
эсеби: Light моделдер (Логит/GBDT) синхрондуу; оор - кезек аркылуу асинхрондук.
Drift Control: PSI/KS жана Алерт; жаңы моделдер үчүн "кара баштоо".

9) Жеткирүү кепилдиктери жана тартиби

At-least-once шинада + кабыл алуу боюнча боштук.
Ачкыч боюнча партиялаштыруу жергиликтүү тартипти камсыз кылат.
Retries & backpressure: jitter менен экспоненциалдык retra, автоматтык басым башкаруу.

10) SLO/SLI (сунушталган)

11) реалдуу убакыт контур байкоо

Пайплайн метрикасы: throughput, lag per partition, busy time, checkpoint duration.
Сигналдардын сапаты: completeness, duplication rate, late ratio.
Дашборддор: топиктер боюнча жылуулук карта лагдар, алерт-воронка (окуя → эреже → кейс), ысык ачкычтар картасы.
Trace: баштапкы окуялар менен alert байланыштыруу (trace_id).

12) Коопсуздук жана купуялык

PII-минималдаштыруу: идентификаторлорду белгилөө, сезгич талааларды жашыруу.
Geo-residency: региондук конвейерлер (EEA/UK/BR).
Аудит: өзгөрүлбөс Логи чечимдер (ким, эмне, эмне үчүн), Юридикалык Hold учурлар үчүн.
Access: RBAC эрежелер/моделдер, кош контролдоо.

13) Наркы жана аткаруу

Hot Keys: кайра бөлүштүрүү (key salting), composite keys.
Абалы: акылга сыярлык TTL, инкременталдык материалдык, RocksDB-тюнинг.
Терезелер: оптималдуу өлчөмдөрү жана allowed lateness; "ызы-чуу" агымдары үчүн алдын ала агрегация катмарлары.
Самплирлөө: критикалык эмес агымдарда жана метрика деңгээлинде (транзакцияларда/комплаенсте эмес).

14) Мисалдар (жөнөкөйлөштүрүлгөн)

sql
CREATE VIEW deposits AS
SELECT user_id, amount, ts
FROM kafka_deposits
MATCH_RECOGNIZE (
PARTITION BY user_id
ORDER BY ts
MEASURES
FIRST(A. ts) AS start_ts,
SUM(A. amount) AS total_amt,
COUNT() AS cnt
ONE ROW PER MATCH
AFTER MATCH SKIP PAST LAST ROW
PATTERN (A{3,})
WITHIN INTERVAL '10' MINUTE
) MR
WHERE total_amt > 500 AND cnt >= 3;

python key = event. user_id window = sliding(minutes=5, step=30)   # hopping window count = state. counter(key, window)
sum_amt = state. sum(key, window)
if count > 30 or sum_amt > THRESH:
emit_alert("RG_VELOCITY", key, snapshot(state))

java if (!kvStore.putIfAbsent(event. getId(), now())) {
forward(event); // unseen -> process
}

15) Процесстер жана RACI

R (Responsible): Streaming Platform (infra, абалы, релиздер), Домен Analytics (эрежелер/чүчүкулак).
A (Accountable): Head of Data/Risk/Compliance өз домендери боюнча.
C (Consulted): DPO/Юридикалык (PII/retention), SRE (SLO/окуялар), Архитектура.
I (Informed): Продукт/колдоо/Маркетинг.

16) Ишке ашыруунун жол картасы

1. 2-3 критикалык сигналдар (мисалы, 'payment. deposit`, `auth. login`, `game. bet`).

2. Kafka + Flink, негизги дедуп жана watermark; антифрод үчүн бир CEP эрежелери жана RG үчүн бир.

3. Оперативдүү витриналар үчүн ClickHouse/Pinot; dashbord lag/completeness.

4. Окуя-канал (webhook/Jira) жана кол менен triage.

• Online Fichestor, Light-моделдин эсеби; асинхрондук lookups (санкциялар/KUS).
• Эрежелерди код катары башкаруу, канареалык чыгуулар, A/B эрежелери.
• Регионалдаштыруу жана PII-контролдоо, Юридикалык Hold учурларда.

• Сигналдардын каталогу, документтердин автогенерациясы, "replay & what-if" симулятору.
• Auto калибрлөө босоголор (Bayesian/quantile), онлайн precision/кайра метрика.
• DR-машыгуу, multi-region active-active, chargeback моделдер командалар боюнча.

17) Азык-түлүктүн алдындагы сапат тизмеси

• Схемалар жана келишимдер, ingest тастыктоо.
• орнотулган терезелер, watermarks, allowed lateness + DLQ.
• Dedup жана idempotent sink 'i.
• lag/throughput/state size метриктер, SLO алерттер.
• Коопсуздук: эрежелер/моделдер боюнча RBAC, PII жашыруу.
• Документтер: owner, SLO, мисалдар, көз карандылык карталар.
• Rollback жол-жоболору жана Friz баскычы.

18) Көп каталар жана аларды алдын алуу үчүн кантип

Ignor event-time: watermarks колдонуу, башкача "сойлоп" метрика.
Жок Дедуп: дубликат жалган Алерт берет → IDempotency.
Hot Keys: партия → salting/resharding кайчылаш.
Өтө катуу терезелер: кечигип жоготуу → allowed lateness + жөнгө чыгаруу.
PII аралаштыруу: tokenization жана аналитикалык агымын бөлүшүү.
Эч кандай симулятор: "реплика" боюнча эрежелерди сынап чыгуу алдында.

19) Глоссарий (кыскача)

CEP - Complex Event Processing, үлгүлөрдү аныктоо.
Watermark - терезени даярдоо үчүн убакыт босогосу.
Allowed Lateness - кеч окуяларды кабыл алуу.
Stateful Operator - туруктуу абалы менен оператор.
Feature Store - ML үчүн онлайн/оффлайн белгилерин сактоо.

20) Жыйынтык

Реалдуу убакыт сигналдарды иштетүү - бул так схемалар, терезелер жана суу маркалары, статефул-логика, онлайн байытуу жана катуу SLO менен башкарылуучу конвейер. Бул тажрыйбаларды ээрчип, сиз тез жана ишенимдүү тобокелдик детекторлорун, туруктуу жекелештирилген триггерлерди жана үнөмдүү жана комплимент менен масштабдалган оперативдүү дашбордддорду аласыз.