告警风暴不是“通知太多”这么简单。
通知太多只是表象。真正的问题是:监控系统把大量事件推给了人,但响应系统没有把这些事件整理成可判断、可分派、可认领、可升级的故障。
一台服务器宕机触发 100 条告警,值班人不应该处理 100 次。
一次网络抖动反复触发和恢复,值班人不应该被连续轰炸。
一次机房网络异常带出大量主机、服务、数据库告警,团队不应该靠群消息人工判断哪一条是根因。
告警降噪的目标不是让告警消失,而是把海量告警收敛成少量可处理的故障。
Flashduty 的降噪能力围绕这个目标设计:事件进入后形成告警,相似告警再聚合为故障;后续告警合入已有故障,不再重复触发通知。再结合静默、抑制、抖动检测、风暴预警、Pipeline 和分析看板,团队可以把告警治理从“凭感觉关规则”变成一套可验证的响应流程。
先纠正一个误区:降噪不是删告警
很多团队一听到“降噪”,第一反应是去监控系统里删规则、调高阈值、关闭低等级告警。
这有时是必要的,但不是第一步。
直接删规则有风险。删得太多,可能漏掉早期信号;阈值调得太粗,可能等到用户受影响才触发;把所有 Warning 都关掉,短期安静了,长期会失去容量、性能和依赖异常的预警能力。
更稳妥的方式是分层处理:
- 源头清洗:无价值事件直接丢弃或重写。
- 标签补齐:让告警具备可路由、可聚合、可分析的维度。
- 告警聚合:把相似告警合并成一条故障。
- 静默与抑制:处理维护窗口、已知问题和派生告警。
- 抖动检测与延迟窗口:减少短时恢复、反复触发带来的打扰。
- 数据复盘:用故障数量、中断次数、MTTA、MTTR 和告警 TOP 反推治理方向。
这套顺序的好处是,团队不需要一开始就改动所有监控规则。先在响应层把告警接住、收敛、分派和衡量,再回到监控侧优化真正有问题的规则。
理解三个对象:事件、告警、故障
做降噪前,先要把对象边界说清楚。
Flashduty 的模型可以简化为:
监控系统 → 事件 Event → 告警 Alert → 故障 Incident
事件是监控系统推送过来的原始通知。一次触发、一次恢复、一次更新,都可以是事件。
告警由事件触发。同一告警的多次事件会合入同一条告警,例如触发、更新、恢复。
故障是处理对象。相似告警可以被聚合到同一条故障里,再统一分派、通知、认领、升级和关闭。
这个模型很关键。
没有降噪时,一条告警往往对应一条故障,值班人看到的是大量独立故障。开启降噪后,多条相似告警可以进入同一条故障,值班人处理的是“一个问题”,而不是“很多条通知”。
第一步:先建立基线,不要直接调规则
降噪之前,先看真实告警数据。
需要回答几个问题:
- 最近一周产生了多少故障?
- Critical、Warning、Info 各占多少?
- 哪些告警检查项和告警对象最频繁?
- 哪些通知发生在睡眠时间?
- 哪些告警从来没人认领?
- 哪些故障关联了大量告警或事件?
- 哪些服务经常触发后很快恢复?
Flashduty 的分析看板可以按团队、协作空间、个人等维度查看故障数据,指标包括故障数量、MTTA、MTTR、响应比例、响应投入和中断次数。时间维度可以拆分为工作时间、休息时间和睡眠时间。全局维度可以查看告警检查项和告警对象 TOP 20。
这里有一个实用口径:先不要急着追求某个“压缩率”数字。
更应该先记录四组基线:
原始告警量:监控系统推送了多少事件和告警
故障数量:Flashduty 创建了多少需要处理的故障
通知打扰:短信、语音、App 推送造成了多少中断
响应效率:MTTA、MTTR、响应比例是否合理
后续每改一类策略,都用这四组数据复查。否则团队很容易把“通知少了”误判成“治理好了”。
第二步:补齐标签,让告警能被治理
降噪依赖标签。
如果告警只有一段标题和描述,很难可靠地路由、聚合、静默和抑制。团队至少需要几类稳定标签:
service:业务服务或应用。resource:告警对象,例如主机、实例、Pod、数据库。check:告警检查项,例如 CPU、磁盘、接口错误率。env:环境,例如 production、staging。team:负责团队。cluster或region:集群、机房或地域。
Flashduty 的标签增强可以在告警进入系统时自动生成或修改标签。支持从标题、描述或已有标签中用正则提取,也可以通过组合生成新标签,通过映射表把 ID 转换为可读值,或者删除不需要的标签。高级场景还可以通过 API 映射查询外部系统,补充团队、服务等级等信息。
标签增强不是美化数据,它直接影响后续治理质量。
同一个 resource 可以用于聚合相同对象的告警。
同一个 service 可以用于路由到对应协作空间。
同一个 check 可以用于分析看板里的告警检查项 TOP。
同一个 team 可以用于分派策略和责任归属。
如果标签不稳定,降噪规则会很难维护。与其写十条复杂正则,不如先把上游告警字段规范化。
第三步:在集成层清洗明显无价值告警
有些事件不应该进入响应链路。
例如开发环境频繁重启导致的告警、已知无害报错、测试压测产生的预期异常、某些没有处理价值的低等级状态变化。这类事件如果进入协作空间,会占用存储、路由、聚合和分析资源,也会干扰治理判断。
Flashduty 的告警处理 Pipeline 位于集成层,在标签增强之后、路由分发之前执行。它可以对告警做清洗、转换和过滤。
常见用法包括:
- 严重程度自定义:例如支付服务的 Warning 告警升级为 Critical,以触发更强通知。
- 标题或描述重写:把机器化标题转换为可读的业务语言,或追加 Runbook、Dashboard 链接。
- 告警丢弃:在入库前丢弃明确无价值的事件。
- 集成层抑制:在同一集成范围内处理全局性依赖关系。
这里要注意一个边界:恢复事件 event_status=Ok 不经过告警处理 Pipeline,会直接进入告警合并流程。因此,不要把恢复事件也会被 Pipeline 丢弃、重写或抑制作为前提设计流程。
Pipeline 的规则会影响通过该集成接入的告警,无论后续路由到哪个协作空间。适合放在集成层的,是全局共识明确的规则;只影响某个团队的策略,更适合放到协作空间层处理。
第四步:用聚合把多条告警变成一条故障
告警风暴的核心处理动作是聚合。
聚合不是把告警隐藏起来,而是把相似告警合入同一条故障。这样值班人只需要处理一个故障,仍然可以在故障详情中查看关联告警和原始事件。
Flashduty 支持两种聚合模式。
智能聚合适合快速开始。系统会基于标题、描述、labels.service、labels.resource 等字段计算相似度。默认参与计算的字段包括 title、description、labels.service、labels.resource,也可以按需调整,最多支持选择 10 个字段。
规则聚合适合需要精确控制边界的场景。它按指定属性或标签精确匹配,仅当维度值完全相同时才聚合。规则聚合支持统一控制,也支持细粒度控制:按条件匹配不同类型的告警,并为不同类型配置不同聚合维度。单条规则可选聚合维度有后端上限,每组不超过 5 个;细粒度分支总数不超过 100 条。
一个实用起点是:
基础设施告警:按 labels.resource + labels.check 聚合
应用告警:按 labels.service + labels.check + labels.env 聚合
Kubernetes 告警:按 labels.cluster + labels.namespace + labels.workload 聚合
数据库告警:按 labels.service + labels.resource + labels.check 聚合
如果标签还不完整,先用智能聚合快速降低噪音;如果误聚合风险较高,再切到规则聚合做精细控制。
聚合窗口也要认真设置。关闭聚合窗口时,新告警会持续合入已有故障,直到故障关闭。开启聚合窗口后,窗口内的告警会被合入,超出窗口后会产生新的故障。窗口计时起点可以选择故障触发,也可以选择告警合入故障;后者会在每次新告警合入时重新计算窗口,适合持续涌入的风暴场景。
第五步:用风暴预警处理“聚合后仍然严重”的故障
聚合减少了重复通知,但不代表聚合后的故障就不严重。
相反,一个故障如果持续合入大量告警,往往说明影响范围在扩大。此时团队需要更高优先级地处理,而不是因为通知被聚合就忽略。
Flashduty 的风暴预警用于这个场景。当合入告警数达到设定阈值时,系统会在故障时间线中记录告警风暴事件,并触发预警通知。风暴预警最多支持配置 5 个阈值,每个阈值范围为 2 到 10,000。
建议把风暴预警当成“二次升级信号”。
例如:
- 合入 20 条告警时,提醒当前值班人确认影响范围。
- 合入 100 条告警时,升级给团队负责人。
- 合入 500 条告警时,进入重大故障响应流程。
阈值不要照搬。基础设施、应用、Kubernetes、云服务的告警密度不同,阈值应该从历史数据里取。先看过去两周同类故障的关联告警数量,再设置不会过度敏感、也不会太迟钝的阈值。
第六步:用抖动检测处理反复触发和恢复
告警风暴不总是来自持续故障,也可能来自抖动。
网络短暂波动、依赖接口偶发超时、节点压力临界、监控采集不稳定,都可能让同一个故障在短时间内反复触发和恢复。对值班人来说,这类告警最消耗精力,因为每次看起来都像一个新问题。
Flashduty 的抖动检测会在同一故障频繁触发与恢复时,将其标记为抖动状态。新建协作空间默认开启抖动检测,模式为“仅提醒”。
抖动检测有三个关键参数:
- 状态变化次数:默认 4 次,取值范围 2 到 100。
- 观测窗口:默认 60 分钟,取值范围 1 到 1440 分钟。
- 静默时长:默认 120 分钟,取值范围 30 到 1440 分钟,仅在“提醒后静默”模式生效。
配置上可以先保守:
先使用“仅提醒”,观察哪些告警经常被标记为抖动。确认它们确实属于短时波动后,再对特定类型开启“提醒后静默”。不要一开始就把所有抖动都静默,否则可能掩盖真实故障反复恶化的信号。
分派策略里的延迟窗口也能配合使用。延迟窗口是在发送首次通知前预留一段等待时间,取值范围 0 到 3600 秒。如果故障在延迟等待期内自动关闭,系统不再发送通知。对于容易自愈的网络超时、瞬时抖动,适当延迟比立即电话通知更合理。
第七步:用静默处理维护窗口和已知问题
静默适合处理“已知且暂时不需要通知”的告警。
典型场景包括计划维护、批量发布、压测、数据迁移、硬件更换、定期重启、已知问题修复窗口。此时告警本身并不意外,继续通知只会制造噪音。
Flashduty 的静默规则可以配置单次静默、周期静默和基于服务日历的静默。静默条件支持按严重程度、标题、描述、集成来源和标签匹配,并支持 AND/OR 组合逻辑。静默行为可以选择直接丢弃,也可以保留标记;保留标记时,告警会在原始告警列表中显示并标记为静默,便于后续筛选查看。
这里建议优先使用“保留标记”。
直接丢弃很安静,但排查时信息少。保留标记能让团队知道静默规则命中了什么,也能在后续复盘时判断静默范围是否过大。
Flashduty 还支持快速静默。处理人可以在故障详情中通过“更多操作 → 快速静默”基于当前故障创建临时静默规则,默认生效 1 天,到期后自动删除。重复对同一故障操作快速静默时,会编辑原规则,而不是创建多条重复规则。
静默要有过期时间。不要把临时问题静默成永久规则。
第八步:用抑制处理根因和派生告警
抑制适合处理依赖关系。
例如机房网络故障发生时,下游主机、数据库、应用、接口都会报警。此时真正需要优先处理的是机房网络故障,其他告警是派生结果。继续把所有派生告警都推给人,会让根因更难被看到。
Flashduty 的抑制策略在根因告警存在时,自动抑制相关的次要告警。典型例子是 Critical 级别故障存在时,抑制同一检查项的 Warning/Info 级别故障。
抑制条件包括三部分:
- 新的告警条件:哪些告警会被抑制,例如 Warning/Info。
- 活跃告警条件:作为抑制源的告警,例如 Critical。
- 相同项:两者必须相同的属性或标签,例如检查项、主机名。
抑制匹配要求 10 分钟内存在满足条件的活跃告警。这里的活跃告警指未被认领且未恢复的告警。
抑制可以配置在协作空间,也可以配置在集成层。集成层的 Pipeline 抑制只匹配同一集成内的活跃告警,适合全局性抑制逻辑,例如机房断网后抑制该机房所有告警。协作空间抑制匹配同一协作空间内的所有活跃告警,适合团队自己的依赖关系。
抑制不是简单按等级屏蔽。它要表达清楚“谁是源告警,谁是目标告警,二者在什么维度上相同”。这比把 Warning 全部静默更安全。
第九步:不要忽略排除规则和丢弃的风险
有些事件可以直接排除或丢弃,但这应该是最后手段。
协作空间的排除规则会在事件进入时直接丢弃,不产生任何告警或故障记录。Pipeline 的告警丢弃也会在数据入库前丢弃,不保留记录。它们都适合明确无价值、无需追踪的事件。
静默和抑制不同。静默、抑制仍然会在告警层面匹配和处理,被命中的告警不会触发通知;如果选择保留标记,后续还能在告警列表里查看。
因此,规则优先级可以这样设计:
- 明确无价值且无需审计的事件,使用排除或 Pipeline 丢弃。
- 维护窗口、已知问题,使用静默。
- 根因存在时的派生告警,使用抑制。
- 相似告警集中出现,使用聚合。
- 反复触发恢复,使用抖动检测和延迟窗口。
不要为了追求安静,把大量告警直接丢弃。安静不等于可靠。
第十步:用 14 天验证降噪效果
告警降噪不应该一次性“大改规则”。
更合理的方法是做一个 14 天实验,选择一个告警量较大的协作空间,分阶段验证。
第 1 到 2 天,接入真实告警,不急着改规则。观察故障数量、告警 TOP、睡眠时间中断次数、MTTA、MTTR 和响应比例。
第 3 到 5 天,补齐标签。至少确保 service、resource、check、env、team 这类标签可用。必要时用标签增强做提取、组合或映射。
第 6 到 8 天,开启聚合。先从最吵的 5 到 10 类告警开始,用智能聚合快速试跑,或用规则聚合按明确维度聚合。
第 9 到 10 天,配置静默和抖动检测。把维护窗口、已知问题、短时自愈类告警从强通知链路里移出去。
第 11 到 12 天,配置抑制和风暴预警。处理根因告警与派生告警的关系,并给大规模合入的故障设置二次提醒。
第 13 到 14 天,看数据。重点比较:
- 故障数量是否下降。
- 中断次数是否下降,尤其是睡眠时间。
- Critical 告警 MTTA 是否保持稳定或变短。
- Warning/Info 是否从强通知中减少。
- 告警检查项 TOP 20 是否集中在少数规则。
- 值班人是否更容易判断当前真正要处理的故障。
如果通知减少了,但 Critical 的 MTTA 变长,说明降噪策略过度。
如果故障数量下降,但告警 TOP 仍然集中在少数检查项,说明还需要回到监控侧调整规则。
如果中断次数下降,MTTA/MTTR 没有恶化,值班人也能更快定位问题,说明降噪策略开始产生价值。
一套可复用的降噪配置模板
可以从这套最小模板开始:
标签增强:
- 提取 service、resource、check、env、team
- 用映射表补齐 team 或 service_name
Pipeline:
- 丢弃 dev/test 环境中无处理价值的告警
- 重写标题,保留服务、资源、检查项和环境
- 对核心服务的特定 Warning 提升为 Critical
聚合:
- 基础设施:resource + check
- 应用服务:service + check + env
- 数据库:service + resource + check
抖动检测:
- 先使用仅提醒模式
- 对确认自愈的短时波动开启提醒后静默
静默:
- 维护窗口使用单次静默
- 定期任务使用周期静默
- 优先保留标记,避免完全无记录
抑制:
- Critical 存在时,抑制同一 service/resource/check 下的 Warning/Info
- 机房或集群级故障在集成层处理
风暴预警:
- 为高频故障设置 2 到 3 个阈值
- 阈值命中后进入升级或重大故障流程
验证:
- 每周看故障数量、中断次数、MTTA、MTTR、响应比例和告警 TOP
这不是最终答案,只是一个起点。每个团队的监控源、标签质量、服务边界和值班方式都不同,真正有效的降噪策略一定来自真实告警数据。
结论:告警风暴要被收敛,而不是被忽略
告警风暴不能靠“让大家少看消息”解决。
它需要一套响应侧治理机制:先接入,再清洗;先补标签,再路由;先聚合,再通知;先抑制派生告警,再升级根因故障;最后用数据验证效果。
Flashduty 的价值不是替代监控系统,而是在 Prometheus、Zabbix、Nightingale、Grafana、云监控、自研系统之后,建立统一的告警响应层。监控系统负责发现异常,Flashduty 负责把异常转成可处理的故障,并持续减少不必要的打扰。
如果你的团队正在被告警风暴困扰,建议从一个真实协作空间开始做 14 天实验:接入告警,补齐标签,开启聚合,配置静默和抑制,设置风暴预警,再用故障数量、中断次数、MTTA、MTTR 和告警 TOP 判断效果。
参考资料
- Flashduty 产品资料:告警降噪、告警处理 Pipeline、标签增强、过滤条件、告警管理、协作空间配置、分派策略、分析看板。
