基于Alertmanager设计告警降噪系统，成本低可落地

一、基于降噪背景

转转基于Prometheus落地了一体化监控系统，设计并自研了告警系统 ，系统但研发同学每人每天都会接收到很多告警，成本导致重要的落地告警被淹没，部分同学会选择直接屏蔽掉所有告警，基于降噪进一步加重问题。设计告警过多等同于没有告警
。系统

另外 ，成本多个告警之间通常具有一定的落地关联性，如：SQL执行错误告警导致异常日志过多告警。基于降噪而面对杂乱无章的设计告警，很难快速分析出告警的系统根本原因。亿华云

告警降噪治理十分重要 ，成本在此背景下，落地我们基于Alertmanager扩展研发了转转告警中心 。

二 、规范与SDK

2.1 发送告警

Alertmanager提供了告警发送的OpenAPI ，其中，告警的labels用于识别同一条告警并对告警去重 、降噪，相同labels的告警的annotations会被覆盖。startsAt与endsAt分别为告警发生时间与结束时间。

复制[ { "labels": { "<labelname>": "<labelvalue>",

...

}, "annotations": { "<labelname>": "<labelvalue>", }, "startsAt": "<rfc3339>", "endsAt": "<rfc3339>", "generatorURL": "<generator_url>" },

...

]1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.

一条告警从提交到发送再到接收人的流程大致如下图所示
，高防服务器其中 ，Alertmanager需要集群部署来保证高可用性 ，需要注意的是 ，发送告警时不能对集群做负载均衡 ，必须要对集群内所有的Alertmanager发送告警才能保证高可用性。

2.2 常用标签

Alertmanager为基于标签的告警降噪 ，需提前规范告警常见标签
。

ENV ：环境，如
：线上环境、测试环境APP：服务名SOURCE：告警来源 ，如：日志告警、JVM告警NAME ：告警名称LEVEL：告警等级，服务器租用如：P0告警 、P5告警INSTANCE ：告警实例IPRECEIVER_TYPE：告警接受者类型RECEIVER
：告警接受者 ，与RECEIVER_TYPE配合使用，如RECEIVER_TYPE=邮件，RECEIVER即为邮箱地址 。

Alertmanager标签名的正则规则为​​[a-zA-Z_][a-zA-Z0-9_]*​​
，在真正发送通知时，最好将标签名做一次中文映射转换 。

2.3 SDK

我们针对Alertmanager开发了发送告警的SDK，如下所示，发送告警非常简单，SDK默认会为每条告警自动增加服务名、环境 、IP、云计算告警等级 ，并按照接收方拆开为多条告警发送。每一项内容都是标签，其中value较为特殊 ，放在了annotations内，其他均放在了labels内用于唯一识别一条告警 。

复制AlertManager alertManager = AlertManager.builder() //

告警名称，必传

.name("告警Demo") //

告警标签，拓展信息，非必传

.label("label1", "value1") .label("label2", "value2") //

告警值 ，非必传

.value("123") //

指定为企业微信告警，并指定发送人

.wechat("zhangsan", "lisi") .build();//

同步发送告警

alertManager.send();//

异步发送 ，默认线程池

alertManager.sendAsync();//

自定义线程池发送

ThreadPoolExecutor executor;executor.execute(alertManager);1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.

三、告警降噪

3.1 分组去重

分组机制可以将多条告警信息合并成一个通知。例如，建站模板当集群中有数百个正在运行的服务实例，假如此时发生了网络故障，结果就会有数百个告警被发送到Alertmanager 。

而作为用户，可能只希望能够在一个通知中就能查看哪些服务实例受到影响 。这时可以按照服务所在集群或者告警名称对告警进行分组 ，将这些告警聚合在一起成为一个通知
。

Alertmanager可以将收到的告警按照特定的标签分组
、去重 ，并基于以下参数决定何时发送组内的告警通知，Alertmanager的每一次通知都会包含当前组内的源码库所有告警。

初始等待时间（group_wait）：一组告警第一次发送之前等待的时间，用于等待同一组的更多告警合并发送。变化等待时间（group_interval）：一组已发送初始通知的告警在接收到新告警或有告警恢复后，再次发送通知前等待的时间  。重复等待时间（repeat_interval）
：一组已发送初始通知的告警 ，组内告警均没有恢复且没有新增告警，再次发送通知前等待的时间。

下面以一张图
，来展示从告警产生到合并到某个集合中
，到发送通知的整个过程。三角形和圆形表示不断产生的告警，矩形代表实际的通知时间以及告警内容 。

3.2 恢复通知

Alertmanager自带恢复通知，默认5m没有收到告警后 ，告警将被认为恢复，然后会等待group_interval后通知给用户。发送告警时也可以指定告警恢复时间，如下所示：

复制//告警发生时间

Date startTime = new Date();

//告警结束时间，如果在startTime~endTime期间没有告警，则认为告警恢复

Date endTime = new Date(new Date().getTime() + 5 * 60 * 1000);

AlertManager.builder().startsAt(startTime).endsAt(endTime)..1.2.3.4.5.

需要注意的是
，endTime如果小于当前时间，会认为告警在发出时就已经恢复 ，这条告警不会通知。

3.3 告警分级

我们将告警分为P0~P5六个等级
，告警等级默认取决于服务重要性，转转服务按照重要性分了A、B、C、D、E五个等级
，服务重要性与告警等级的对应关系
：A → P1
，B → P2，C → P3
，D → P4 ，E → P5。发送告警时也可以指定告警等级 ，如下：

复制AlertManager.builder().level(AlertManager.Level.P0)...1.

告警分级的目的是尽量让高等级的告警及时发出 ，低等级的告警减少用户打扰次数 。不同等级告警的分组、去重时间均不相同。

如 ：P4/P5的告警初始时会等待3m收集告警，并将当前告警接收者的所有告警汇总到一条通知内；

P0的告警只会等待15s收集告警 
，并按照告警接收者、环境、服务名、告警来源、告警名称为维度拆分成多个通知 。

复制route:group_by: [...]receiver: web.hookroutes: - group_by: [_RECEIVER, _RECEIVER_TYPE] group_wait: 3

m

group_interval: 10

m

repeat_interval: 4

h

matchers: - _LEVEL =~ "P4|P5" continue: false - group_by: [_RECEIVER, _RECEIVER_TYPE, _ENV] group_wait: 2

m

group_interval: 10

m

repeat_interval: 2

h

matchers: - _LEVEL = "P3" continue: false # ... 省略P3 、P2 、P1  、P0降噪策略1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.

告警等级

分组标签

group_wait

group_interval

repeat_interval

P0

告警接收者、环境 、服务名、告警来源、告警名称

15s

1m

30m

P1

告警接收者、环境、服务名、告警来源

30s

5m

1h

P2

告警接收者、环境、服务名

1m

5m

1h

P3

告警接收者 、环境

2m

10m

2h

P4/P5

告警接收者

3m

10m

4h

3.4 通知合并

统一使用Alertmanager webhook通知
 ，一次通知内容会包含分组内的多个报警，我们会按照告警相似度对告警做合并，如下为6条报警合并成一条通知 ，其中，告警值与服务实例一一对应。

定义相似度 ：对于多个报警的labels，只有一个label value不一样，剩余的label key与label value均相同，则认为相似并合并；一次Alertmanager webhook通知可按照相似度拆分成多种告警 ，不同的告警提取公共标签，最终推送到一条通知内 。

如下，为4条告警合并到一条通知
，可清晰的看到两台机器的异常日志报警的原因是由于Druid执行SQL错误导致。

3.5 告警抑制

抑制是指当某一告警发出后，可以停止重复发送由此告警引发的其它告警的机制 。

当同一个服务 、环境 、告警来源、IP 、接受者、告警名称
，同时出现多个等级的告警时 ，高等级的告警会抑制低等级告警的通知 。

如：告警名称为FGC次数
，P1告警阈值为20次 ，P2告警为10次 ，当某个实例的FGC次数达到20次以上时 ，只会发送P1告警 ，不会发送P2告警。

复制inhibit_rules: - source_matchers: - _LEVEL="P4" target_matchers: - _LEVEL="P5" equal: [_APP, _ENV, _SOURCE, _INSTANCE, _RECEIVER, _RECEIVER_TYPE, _NAME] - source_matchers: - _LEVEL="P3" target_matchers: - _LEVEL=~"P4|P5" equal: [_APP, _ENV, _SOURCE, _INSTANCE, _RECEIVER, _RECEIVER_TYPE, _NAME] # ... 省略P2、P1
、P0抑制策略1.2.3.4.5.6.7.8.9.10.11.12.

四、多通知机制

支持企业微信、企业微信群 、短信
、邮件、电话
、WebHook，可在一个告警内同时指定多种接收方式
，我们会自动按照接收人拆分成多条告警 。

企业微信 、企业微信群
、邮件、WebHook：最详细
，发送告警与恢复通知。短信：相对以上
，只是不会发送恢复通知。电话：不会发送恢复通知 ，并且只会播报报警标题与告警服务名。

复制AlertManager.builder()

//企业微信

.wechat("zhangsan","lisi")

//指定了消息通道的企业微信

.wechat(Arrays.asList("zhangsan","lisi"), "10")

//企业微信群聊机器人

.wechatRobot("企业微信群机器人key")

//邮件

.mail("zhangsan@zhuanzhuan.com", "lisi@zhuanzhuan.com")

//Http回调

.webhook("http://www.baidu.com")

//短信

.sms("188xxxxxxxx", "180xxxxxxxx")

//语音电话

.phone("188xxxxxxxx", "180xxxxxxxx")..1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.

五、未恢复告警

为了防止告警过多时淹没了重要告警 ，在每条告警的最后，都提供了一个未恢复告警链接 ，用于实时查询当前未恢复的告警
。

未恢复告警拥有三种状态 ：活跃、静默 、抑制 。其中，活跃状态可以设置静默 ，静默状态可以查看被谁静默
。

六、静默告警

基于Alertmanager OpenAPI
 ，支持基于标签的静默告警，每条告警通知内都提供了一个链接用于快速静默，也可以在未恢复告警内静默告警 。

点击新增静默后，会自动补充静默匹配的标签项，也可以增减标签项 ，如：去掉INSTANCE标签维度以便匹配所有的机器，修改_RECEIVER为其他人等。需要注意的是，添加静默时RECEIVER必须要指定 。

添加完成后，会自动跳转到静默列表，并展示刚刚添加的静默项 。

在静默列表内可查询所有的活跃、过期的静默项 ，可编辑
、删除、查看影响的告警。

查看受影响的告警为实时查询，如果当前静默没有匹配到任何告警 ，查询结果会为空。

七 、告警历史

告警通知给用户后，我们会保留三个月的历史告警记录列表。

八 、总结

Alertmanager提供了告警降噪的策略 ，我们在Alertmanager的基础上制定了标签规范、告警分级降噪  、分级抑制、告警合并，并基于Alertmanager OpenAPI扩展了未恢复告警、静默告警 、告警历史。Alertmanager虽然不是告警降噪的银弹 ，但也可以解决大部分问题
，如果你也面临着告警轰炸的问题 ，可以尝试一下。

关于作者

苑冲，转转架构部存储服务负责人，主要负责MQ
、监控系统、Redis、KV存储等。爱学习 ，喜欢以辩证思维与变化思维思考。