كيفية استخدام بروميثيوس للكشف عن الحالات الشاذة في GitLab

ما هو الكشف عن الشذوذ؟

1. تشخيص الحوادث : يمكننا اكتشاف الخدمات التي تجاوزت نطاقها الطبيعي عن طريق تقليل وقت اكتشاف الحوادث (MTTD) ، وبالتالي ، تقديم حل أسرع للمشكلة.
2. الكشف عن تدهور الأداء : على سبيل المثال ، إذا تم إدخال انحدار في خدمة يتسبب في وصولها إلى خدمة أخرى كثيرًا ، فيمكننا اكتشاف هذه المشكلة وإصلاحها بسرعة.
3. الكشف عن الإساءة والقضاء عليها : يوفر GitLab آليات التسليم والتكامل ( GitLab CI / CD ) والاستضافة (صفحات GitLab) وعدد محدود من المستخدمين الذين يمكنهم استخدام هذه الآليات.
4. الأمان : يعد الكشف عن الشذوذ أمرًا مهمًا للكشف عن الاتجاهات غير المعتادة في سلسلة GitLab الزمنية.

ما هو مستوى التجميع الصحيح؟

http_requests_total{
 job="apiserver",
 method="GET",
 controller="ProjectsController",
 status_code="200",
 environment="prod"
}

1. يمكنك تخطي الشذوذ لأن التجميع يخفي المشاكل التي تحدث في مجموعات فرعية من بياناتك.
2. إذا وجدت شذوذًا ، فمن الصعب ربطه بجزء منفصل من نظامك دون بذل جهد إضافي.

- record: job:http_requests:rate5m
expr: sum without(instance, method, controller, status_code)
(rate(http_requests_total[5m]))
# --> job:http_requests:rate5m{job="apiserver", environment="prod"}  21321
# --> job:http_requests:rate5m{job="gitserver", environment="prod"}  2212
# --> job:http_requests:rate5m{job="webserver", environment="prod"}  53091

استخدام نقاط Z للكشف عن الشذوذ

1. نحن نحسب المتوسط ​​والانحراف المعياري للمقياس باستخدام بيانات ذات حجم عينة كبير. في هذا المثال ، نستخدم البيانات الأسبوعية. إذا افترضنا أن السجلات يتم تقييمها مرة واحدة في الدقيقة ، فسيكون لدينا في الأسبوع ما يزيد قليلاً عن 10000 عينة.
   
   

   # Long-term average value for the series
   - record: job:http_requests:rate5m:avg_over_time_1w
   expr: avg_over_time(job:http_requests:rate5m[1w])
   
   # Long-term standard deviation for the series
   - record: job:http_requests:rate5m:stddev_over_time_1w
   expr: stddev_over_time(job:http_requests:rate5m[1w])

   
   
2. يمكننا حساب الدرجة z لاستعلام Prometheus بمجرد أن نحصل على المتوسط ​​والانحراف المعياري للتجميع.
   
   

   # Z-Score for aggregation
   (
   job:http_requests:rate5m -
   job:http_requests:rate5m:avg_over_time_1w
   ) /  job:http_requests:rate5m:stddev_over_time_1w

   
   

ماذا تفعل إذا كان توزيع البيانات غير طبيعي

(
max_over_time(job:http_requests:rate5m[1w]) - avg_over_time(job:http_requests:rate5m[1w])
) / stddev_over_time(job:http_requests:rate5m[1w])
# --> {job="apiserver", environment="prod"}  4.01
# --> {job="gitserver", environment="prod"}  3.96
# --> {job="webserver", environment="prod"}  2.96

(
 min_over_time(job:http_requests:rate5m[<1w]) - avg_over_time(job:http_requests:rate5m[1w])
) / stddev_over_time(job:http_requests:rate5m[1w])
# --> {job="apiserver", environment="prod"}  -3.8
# --> {job="gitserver", environment="prod"}  -4.1
# --> {job="webserver", environment="prod"}  -3.2

كشف الشذوذ الموسمي الاحصائي

كيفية استخدام الموسمية

- record: job:http_requests:rate5m_prediction
  expr: >
    job:http_requests:rate5m offset 1w          # Value from last period
    + job:http_requests:rate5m:avg_over_time_1w # One-week growth trend
    — job:http_requests:rate5m:avg_over_time_1w offset 1w

- record: job:http_requests:rate5m_prediction
  expr: >
    avg_over_time(job:http_requests:rate5m[4h] offset 166h) # Rounded value from last period
    + job:http_requests:rate5m:avg_over_time_1w    # Add 1w growth trend
    - job:http_requests:rate5m:avg_over_time_1w offset 1w

- record: job:http_requests:rate5m_prediction
  expr: >
   quantile(0.5,
     label_replace(
       avg_over_time(job:http_requests:rate5m[4h] offset 166h)
       + job:http_requests:rate5m:avg_over_time_1w — job:http_requests:rate5m:avg_over_time_1w offset 1w
       , "offset", "1w", "", "")
     or
     label_replace(
       avg_over_time(job:http_requests:rate5m[4h] offset 334h)
       + job:http_requests:rate5m:avg_over_time_1w — job:http_requests:rate5m:avg_over_time_1w offset 2w
       , "offset", "2w", "", "")
     or
     label_replace(
       avg_over_time(job:http_requests:rate5m[4h] offset 502h)
       + job:http_requests:rate5m:avg_over_time_1w — job:http_requests:rate5m:avg_over_time_1w offset 3w
       , "offset", "3w", "", "")
   )
   without (offset)

- record: job:http_requests:rate5m_prediction
  expr: >
   quantile(0.5,
     label_replace(
       avg_over_time(job:http_requests:rate5m[4h] offset 166h)
       + job:http_requests:rate5m:avg_over_time_1w — job:http_requests:rate5m:avg_over_time_1w offset 1w
       , "offset", "1w", "", "")
     or
     label_replace(
       avg_over_time(job:http_requests:rate5m[4h] offset 334h)
       + job:http_requests:rate5m:avg_over_time_1w — job:http_requests:rate5m:avg_over_time_1w offset 2w
       , "offset", "2w", "", "")
     or
     label_replace(
       avg_over_time(job:http_requests:rate5m[4h] offset 502h)
       + job:http_requests:rate5m:avg_over_time_1w — job:http_requests:rate5m:avg_over_time_1w offset 3w
       , "offset", "3w", "", "")
   )
   without (offset)

كيف تكتشف أن توقعاتنا دقيقة حقًا

كيفية إعداد التنبيهات باستخدام بروميثيوس

- alert: RequestRateOutsideNormalRange
  expr: >
   abs(
     (
       job:http_requests:rate5m - job:http_requests:rate5m_prediction
     ) / job:http_requests:rate5m:stddev_over_time_1w
   ) > 2
  for: 10m
  labels:
    severity: warning
  annotations:
    summary: Requests for job {{ $labels.job }} are outside of expected operating parameters

كيفية الكشف عن الشذوذ في GitLab باستخدام بروميثيوس

1. يمكن استخدام بروميثيوس للكشف عن بعض التشوهات.
2. التجميع الصحيح هو المفتاح لإيجاد الشذوذ.
3. يكون تسجيل Z فعالًا إذا كانت بياناتك ذات توزيع طبيعي.
4. الموسمية الإحصائية هي آلية قوية للكشف عن الشذوذ.

1. طرق التخزين المؤقت البسيطة في GitLab CI: دليل صور .
2. أدوات GitLab CE الجاهزة والمخصصة في سوق MCS . 
3. قناة Telegram حول التحول الرقمي .