解决告警疲劳关键在于让每条告警都“值得看”,需通过精准降噪(动态基线 + 时间窗口过滤)、聚合同类、抑制衍生、分级响应四步闭环实现。
解决告警疲劳,关键不是少发告警,而是让每条告警都“值得看”。核心在于过滤噪音、聚合同类、抑制衍生、分级响应——四步闭环缺一不可。
精准降噪:告别静态阈值误报
云原生环境里,用“CPU > 80%”这种固定规则,等于每天定时制造干扰。真实业务有峰谷(如大促流量翻倍)、有抖动(GC 导致 1 秒内存飙升),静态阈值必然失灵。
- 改用动态基线:Prometheus + Prometheus Alertmanager 配合 VictoriaMetrics 或内置的
predict_linear()函数,自动学习过去 7 天同一时段的正常波动范围,告警只在显著偏离基线时触发 - 加时间窗口过滤:避免瞬时毛刺,例如写成
avg_over_time(node_cpu_seconds_total{mode="idle"}[5m]),而非单点采样 - 排除已知低风险场景:比如对突发性能型 ECS 实例,跳过 CPU steal time 告警;对只读副本数据库,放宽连接数告警阈值
智能分组:把 10 条同类告警压成 1 条
当 user-api 的 3 个 Pod 同时内存超标,你不需要收到 3 条 钉钉 消息——你需要一条含实例列表、趋势图和一键跳转链接的通知。
- Alertmanager 中配置
group_by: ['alertname', 'service', 'environment'],确保同服务、同环境、同类型告警自动归并 - 设置合理等待时间:
group_wait: 30s(收集新告警)、group_interval: 5m(同组再次通知间隔) - 在 Grafana 告警面板中嵌入
{{$value | humanizePercentage}}和{{$labels.instance}},让每条通知自带上下文,减少二次查证
依赖抑制:阻断告警链式爆炸
网络分区了,所有节点失联告警会瞬间刷屏;但真正该处理的,只有 网络问题 本身。低级告警必须被高级故障“压制”。
- 在
alertmanager.yml中定义抑制规则:当NetworkPartition告警触发时,自动抑制所有InstanceDown和NodeExporterDown - 示例配置:
inhibit_rules:
- source_match:
alertname: NetworkPartition
severity: critical
target_match_re:
alertname: InstanceDown|NodeExporterDown- 注意:抑制规则需双向验证,避免误压。建议先在测试环境开启
--log.level=debug观察匹配行为
分级响应:让 P0 故障秒达,P2 预警静默归档
所有告警一个铃声,等于没有铃声。必须按影响定级,并绑定不同通道、不同超时、不同责任人。
- 定义三级标准:
– P0(灾难):全站不可用、支付中断、核心 DB 宕机 → 电话 + 短信 + 钉钉强提醒,1 分钟内响应
– P1(严重):单服务降级、磁盘 95%、连接池耗尽 → 钉钉 + 企业 微信 ,15 分钟内确认
– P2(预警):CPU 持续 85%、SWAP 启用、inode 使用率>80% → 邮件汇总,每日早会同步 - Alertmanager路由 支持标签匹配:
match: {severity="critical", team="payment"}直接路由至支付组 PagerDuty - 所有通知模板强制携带:
instance_id、availability_zone、近 1 小时指标折线图(Grafana snapshot link)
