Alerting is geen monitoring

by

Alerting wordt te vaak omschreven als een simpele functie binnen monitoring. Hoewel dat frame voor de hand liggend lijkt, verbergt het de kern van het probleem. Een metric op zichzelf maakt niemand wakker, een grafiek creëert geen urgentie en een dashboard wijst geen eigenaarschap toe. Een alert doet dit alleen als het achterliggende systeem goed is ontworpen.

In de moderne stack is alerting een complex systeem dat bestaat uit regels, routing, context, kanalen, mensen en feedbackloops. Het onderscheid tussen detectie en levering is hierbij cruciaal. Waar systemen zoals Prometheus, Zabbix of Grafana bepalen dat er iets mis is, bepaalt alert management wie actie moet ondernemen, via welk kanaal en met welke frequentie.

Wat een alert werkelijk is

Een alert is geen signaal dat toevallig interessant oogt; het is een signaal dat actie vereist. Dit onderscheid houdt observability gezond:

  • Metrics beantwoorden wat er is veranderd.
  • Logs vertellen wat er is gebeurd.
  • Traces laten zien waar vertraging of fouten ontstonden.
  • Alerts bepalen wie er nú moet handelen.

Wanneer elk afwijkend signaal een alert wordt, verliest het systeem zijn waarde. Dit leidt niet tot een betere dekking, maar tot verwarring en alert-moeheid.

De levenscyclus van een alert

Een effectief alerting-systeem volgt een duidelijke route:

  1. Signaal: Telemetrie uit metrics, logs of traces.
  2. Regel: De logica die telemetrie omzet in een relevante conditie (bijv. SLO-driven of drempelwaarde).
  3. Alert: Het event verrijkt met labels en context (omgeving, severity, team).
  4. Routing: De logica die bepaalt waar het event heen gaat (groepering, onderdrukking, maintenance).
  5. Kanaal: De keuze voor het platform (push bericht, web hook, chat).
  6. Actie: De menselijke of geautomatiseerde interventie.
  7. Feedback: De evaluatie of de alert nuttig, ruisgevoelig of misplaatst was.

Kernprincipes voor effectief design

Om alert-moeheid te voorkomen, wat een designprobleem is, geen menselijk probleem, moeten alerts voldoen aan een aantal criteria:

  • Actionability: Elke alert moet antwoord geven op de vraag: “Wat moet er nu gebeuren?”. Zonder duidelijke vervolgstap hoort een melding in een dashboard of rapportage, niet in een notificatiekanaal.
  • Eigenaarschap: Een alert zonder expliciete eigenaar is een klacht, geen controlemechanisme.
  • Context: Een alert moet de tijd tot begrip verkorten. Dit betekent dat metadata zoals service-informatie, drempelwaarden, trendlijnen en links naar runbooks direct beschikbaar moeten zijn.
  • Selectiviteit: De beste alert is niet de snelste, maar de meest betrouwbare. Symptoom-gebaseerde alerts (gericht op de gebruikerservaring) presteren vaak beter dan ruisgevoelige technische drempelwaarden.
  • Verantwoordelijkheid: Zonder het nemen van verantwoordelijkheid over waarvoor je beheerlast draagt ben je aanemelijk minder geneigd te acteren. Het is ten eerste belangrijk dat de persoon die verantwoordelijk is voor het beschikbaar en veilig zijn van de dienst zijn taak serieus neemt. Hier ligt ook een duidelijke taak voor het management.

Categoriseren van urgentie

Het mengen van verschillende urgentieniveaus in één kanaal is een veelvoorkomend anti-pattern. Een effectieve verdeling is:

  • Critical: Onmiddellijke actie vereist. Dit gaat via gerichte notificatie (push berichten) en is direct gekoppeld aan business impact.
  • High: Urgent, maar vereist niet dat er iemand voor wordt wakker gemaakt. Dit hoort thuis in team-chats tijdens kantooruren. Of 24*7 bij een NOC/Brug als dit aanwezig is.
  • Informational: Nuttig voor bewustwording of trendanalyse, maar zonder extra notificatie.

De rol van Routing en Feedback

Routing is het hart van operationele alerting. Door alerts te groeperen en onderdrukkingsregels toe te passen (bijvoorbeeld het onderdrukken van service-alerts wanneer de gehele regio plat ligt), wordt de menselijke aandacht beschermd.

Zonder een feedbackloop faalt elk alerting-systeem. Teams moeten periodiek evalueren welke alerts nuttig waren en welke ruis veroorzaakten. Alerting is immers geen statisch bijproduct van monitoring, maar een responssysteem dat constante tuning vereist om het vertrouwen van de gebruiker te behouden.

De monitoring is dus nooit af en onmisbaar voor proactief beheer, zeker in de context van de huidige tijd.

Leave a Comment