Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Warningアラートを放置しない!アラート駆動でログやメトリックを自動収集する仕組みによる恩恵

ikeda-masashi
September 29, 2023
Technology
5
3.2k

 Warningアラートを放置しない!アラート駆動でログやメトリックを自動収集する仕組みによる恩恵

SRE Next 2023 の発表スライドです

ikeda-masashi

September 29, 2023
Tweet

More Decks by ikeda-masashi

See All by ikeda-masashi
運用の役立たないダッシュボードの作り方。
mashiike
3
610
Amazon Aurora MySQL と Amazon Redshift の Zero-ETL Integration について使い所を考えてみた!
mashiike
0
380
Prepalert ~Mackerelアラートにログや集計値を貼り付けてくれるトイル削減ツール~
mashiike
0
1.5k
人狼ゲームで考えるデータ基盤 〜データとはいったい・・・〜
mashiike
0
170
『エンタープライズ』という言葉の重さ 〜Data Vault 2.0をやめた2022年冬〜
mashiike
2
2.8k
Redshift ServerlessとProvisioned Cluster のちょっとした違い
mashiike
0
1.5k
「北欧、暮らしの道具店」のデータ基盤の変遷
mashiike
1
3k
小規模ワークロードにおけるRedshift Serverlessのログの取り扱い
mashiike
0
420
完全に理解した incremetal 〜そして、何もわからないへ〜
mashiike
2
3.4k

Other Decks in Technology

See All in Technology
Cracking the KubeCon CfP
inductor
2
250
One engineer company with Ruby on Rails
rstankov
2
130
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
0
430
ServiceNow Knowledge Learning Rise up
manarobot
0
210
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
3
540
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
130
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
プロンプトエンジニアリングでがんばらない-Agentic Workflow へ-近藤憲児
kenjikondobai
4
1k
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.4k
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
私が trocco を推す理由
__allllllllez__
1
260
Microsoft Intune 勉強会 第 2 回目
tamaiyutaro
1
180

Featured

See All Featured
Building Adaptive Systems
keathley
31
1.9k
Designing Experiences People Love
moore
136
23k
GraphQLとの向き合い方2022年版
quramy
32
12k
It's Worth the Effort
3n
180
27k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
322
20k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
Optimizing for Happiness
mojombo
370
69k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.9k
A Philosophy of Restraint
colly
197
16k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
Writing Fast Ruby
sferik
621
60k

Transcript

  1. Warningアラートを放置しない! アラート駆動でログやメトリックを 自動収集する仕組みによる恩恵 SRE NEXT 2023 【TrackB】2023.09.29 15:50 - 16:10

    面白法人カヤック 池田将士 @mashiike

  2. @mashiike その他事業部 SREチーム データエンジニア 主にデータのお悩み事相談や 多種多様なメトリックを眺める https://github.com/mashiike/shimesaba Mackerelを使ったSLI/SLO/エラーバジェット計算ツール https://github.com/mashiike/prepalert アラートに関するトイル削減ツール

    趣味: • 利茶 (聞茶) • ネトゲ • 睡眠

  3. 主にWeb技術を得意とする ゲームやコミュニティなど 多種多様な事業を展開する おもちゃ箱のような会社。

  4. アジェンダ! • Warningアラートとは?・Warningアラートにまつわるトイル • アラート駆動でログやメトリックを自動収集する仕組みの恩恵 • まとめ

  5. アラート 人間が即座にアクションを起こして対応し、 状況を改善しなければならなことが生じている、 あるいは生じようとしていることを知らせます。 書籍版 SREサイトリライアビリティエンジニアリング p10 より 通常、アラートにはSeverity(重要度)をつけて人間に通知します。 Warningアラートとは、このSeverityがWarningであるものを本発表では

    意味します。

  6. SeverityがWarningのアラートは一般には、 『即座にアクションを起こす必要は無いが、 これから重大なことが生じようとしている可 能性があるので警告しておく』という意味合 いのものが多いと思います。 • リクエスト 5xx エラー 1件

    • 平均レスポンスタイム500ms ※監視サービス Mackerelでの設定例 Warningアラートの実例

  7. Severityによる取り扱いの差 Warningアラート Criticalアラート Slackにメンションなし ひっそりと channelメンションや オンコール付き

  8. Warningアラートは結構な頻度ででる。 例えば、Application Load Balancer(ALB)に AWS WAFを設定している場合。 すべてWarningアラート https://aws.amazon.com/jp/waf/sla/ 月次稼働率 99.95%

    なので 『ALBの1分間のレスポンスで5xxが1件以上』なら、 1週間で5件Warningアラートが発生しても不思議ではない

  9. Warningアラートの確認 だいたい週次定例でWarningアラートについて振り返ります。 例えば、ALBのログをもとに、なぜエラーになったのかを確認します。 右側はなにか潜んでる可能性がありますね。 理由によっては、対策が必要になります。 Warningアラートの放置は重大な事故につながる可能性があります。 こっちはWAFのエラーなんで アプリケーションのエラーじゃないですね。 こっちはALBの後ろにいるNginxが500と 504を返してるみたいですね。

    あとそれとは別の理由のもありますね 【ハインリッヒの法則】 1 29 300 重大な事故 軽微な事故 事故未遂

  10. Warningアラートにまつわるトイル アラートの確認の為にログやメトリックを調べたりする行為は 以下の性質を持ちやすい • 手作業である • 週次定例のたびに繰り返される • 戦術的である •

    長期的には直接的な価値をもたらさない • サービスの成長に比例して増加する しかし、確認作業はマニュアル化しやすく、自動化可能である。 つまり、Warningアラートの調査はトイルになりがち

  11. • 週次定例の時間をオーバーして 振り返れないものが出る • 調査Issueがたくさんできる。 • 調べる人が固定化されがち • etc… トイルのもたらす現象

  12. github.com/mashiike/prepalert アラート駆動でログやメトリックを自動収集する仕組み - OSS『prepalert』- MackerelとAWSを使ってる方は、ぜひ使ってみてください!

  13. OSS『prepalert』の概要 アラートが発生したら、 Webhook経由でLambda関数が起動! Redshift,S3,Cloudwatchなどにアクセスし その結果をMackerelのアラートのメモに貼る! 導入前 導入後

  14. アラート駆動でログやメトリックを自動収集する仕組み - OSS『prepalert』- Prepalert自体については本発表ではあまり触れないので、続きはブログで

  15. 仕組みを入れたことによる恩恵 - 振り返り時間短縮 1. 週次定例中にWarningアラートを振り返りきることができる 重大な事故に繋がりそうであるか?という初期判断に必要な情報が 出揃っている状態なので、スムーズに振り返りができる。 この場合、『response timeのp99が1.5秒より長い』 というWarningアラートに対して、

    『その期間のリクエストのパスごとにレスポンスタイムを集計した 結果、 画像アップロードのAPIが1件 17.9秒かかっている。』 という情報がメモに自動的に書かれた状態にある 大きめの画像をアップロードした場合に 長く時間がかかるということがわかっているので、 エラーバジェットがまだあるので放念する。 ということがすぐ意思決定できる。

  16. 仕組みを入れたことによる恩恵 - 収集内容の拡充 2. 初期判断に必要な情報が拡充される。 週次定例中に判断するには情報が足りないとなったら、 『prepalert』の設定に書き足せば良いだけなので、 『この情報もほしい』というのが増えた。

  17. 仕組みを入れたことによる恩恵 - 収集内容の拡充 例: 『ALB Target 5xx Request > 0

    』のWarningアラートに関して • Nginxのupstream側が5xxであった 『Applicationのログ情報』を見る必要があるので追加 • NginxはHTTP 499 Client Closed Requestのケースが有る ALB側がTimeoutで切断しているか確認するために 『ALBのLog情報』を追加 • 影響するユーザーがどれくらいいるのかを判断したくなった。 Applicationが使用している 『Aurora MySQL由来の基幹DB情報』を追加 導入初期: 『Nginxのログをパス別に集計した結果』のみ

  18. 仕組みを入れたことによる恩恵 - 早期に問題を発見 • 謎の15秒タイムアウト犯人捜索事件簿 Nginxのログがない ApplicationのError Logもない ALBのLogだけある •

    ALBのログはある。 • ALBによればTarget(接続先)が503を返している • しかし、接続先のNginxはアクセスログがない。 • 他のアラートも15秒できっちり揃っている。 • ALBのタイムアウトは15秒より長く設定している 一体誰が接続を切っているんだ (・・?

  19. 仕組みを入れたことによる恩恵 - 早期に問題を発見 • 謎の15秒タイムアウト犯人捜索事件簿 Timeout!!!!! 実はApp Meshの設定由来だった。 マイクロサービスのプロダクトで、 コントロールプレーンにEnvoyがいました。

    EnvoyがTaskにくる通信を Proxyしているのようですが、 Nginxが何かしらの理由で通信できなかったようで す。 その結果、envoyがHTTP Status 503を返していた ようです。 App Meshの15秒タイムアウト設定に 気がついてなかった!!!

  20. 仕組みを入れたことによる恩恵 - 早期に問題を発見 • 他システム向けの脆弱性攻撃でエラーバジェット損失!事件簿 ALB Target 5xx > 0

    のWarningアラート。 500で、見知らぬPath、見知らぬエラーログ。 09:10:20.67568+09:00

  21. 仕組みを入れたことによる恩恵 - 早期に問題を発見 • 他システム向けの脆弱性攻撃でエラーバジェット損失!事件簿 Caught exception in engine "End

    of stream encountered while parsing part body at /home/app/xxxxxxxxxxxx/local/lib/perl5/HTTP/Entity/Parser/MultiPart.pm line 157. POST /FCKeditor/editor/filemanager/connectors/asp/connector.asp ASP.NET版のFCKeditorへの攻撃のようですね。 Perl5のアプリケーションでHTTPリクエストの ボディとして解釈できずに500エラーになったようです。 https://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-002835.html Perl5のパーサーが優秀なので、 有効な攻撃にはなっていないが、 しかし、5xxエラーを返しているので エラーバジェットは無駄に削れている。

  22. 仕組みを入れたことによる恩恵 - 早期に問題を発見 • 他システム向けの脆弱性攻撃でエラーバジェット損失!事件簿 ALBに到達したうえで5xxエラーなると SLO違反でエラーバジェットが削れます。 なので、 WAFで対策を入れました。 Application側には到達しません

    また、これがWAFの設定を 見直すいい機会にもなりました。

  23. まとめ • アラートにはSeverityがWarningの物がある。 ◦ すぐには重大な事故に繋がらないが、可能性があるもの ◦ そこそこの頻度で発生する。 ◦ Warningアラートの初期判断のための調査はトイルである。 •

    Warningアラートにまつわるトイル削減のために仕組みを入れた。 ◦ アラートが発生したらWebhookを受け取り、ログやメトリックスを自動 収集する仕組み ◦ 危ないかどうか?の初期判断ための情報は人が集めなくてもいい状態へ • 仕組みを入れた結果いくつかの恩恵があった。 ◦ Warningアラートの振り返り時間の短縮 ◦ 初期判断のための情報拡充 ◦ 重大な事故に繋がる前に、早期に問題を発見できたことも

  24. Kayac Techblogもよろしく!