Création d’une alerte CloudWatch basée sur une détection d’anomalie - Amazon CloudWatch
Modification d’un modèle de détection des valeurs aberrantes Suppression d’un modèle de détection des valeurs aberrantes

Création d’une alerte CloudWatch basée sur une détection d’anomalie

Vous pouvez créer une alarme à partir de la détection des valeurs aberrantes de CloudWatch, qui analyse les données de métriques passées et établit un modèle de valeurs attendues. Les valeurs attendues prennent en compte les modèles classiques horaires, quotidiens et hebdomadaires dans la métrique.

Vous définissez une valeur de seuil pour la détection des valeurs aberrantes, et CloudWatch utilise ce seuil avec le modèle pour déterminer la plage de valeurs « normales » de la métrique. Une valeur plus élevée pour le seuil produit une bande plus épaisse de valeurs « normales ».

Vous pouvez choisir si l'alerte est déclenchée lorsque la valeur de la métrique dépasse le groupe de valeurs attendues, se situe sous le groupe ou se trouve être supérieure ou inférieure au groupe.

Vous pouvez également créer des alarmes de détection des valeurs aberrantes sur des métriques uniques ou sur les résultats d’expressions mathématiques de métriques. Vous pouvez utiliser ces expressions pour créer des graphiques qui visualisent les canaux de détection d'anomalies.

Dans un compte configuré comme compte de surveillance pour l’observabilité intercomptes CloudWatch, vous pouvez créer des détecteurs d’anomalies sur les métriques des comptes sources en plus de celles du compte de surveillance.

Pour de plus amples informations, consultez Utilisation de la détection des valeurs aberrantes de CloudWatch.

Note

Si vous utilisez déjà la détection des valeurs aberrantes à des fins de visualisation dans la console des métriques et que vous créez une alarme de détection des valeurs aberrantes sur cette même métrique, le seuil que vous définissez pour l’alarme ne remplace pas celui défini pour la visualisation. Pour de plus amples informations, consultez Création d'un graphique.

Pour créer une alarme basée sur la détection des valeurs aberrantes

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Alarms (alertes), All alarms (Toutes les alertes).

  3. Choisissez Create alarm (Créer une alerte).

  4. Choisissez Select Metric (Sélectionner une métrique).

  5. Effectuez l’une des actions suivantes :

    • Choisissez l'espace de noms de service qui contient votre métrique, puis continuez à choisir les options au fur et à mesure qu'elles apparaissent pour réduire vos possibilités. Lorsqu'une liste de métriques apparaît, cochez la case qui se trouve à côté de votre métrique.

    • Dans la zone de recherche, tapez le nom d'une métrique, d'une dimension ou d'un ID de ressource. Sélectionnez l'un des résultats, puis continuez à choisir les options au fur et à mesure qu'elles apparaissent jusqu'à ce qu'une liste de métriques apparaisse. Cochez la case qui se trouve à côté de votre métrique.

  6. Sélectionnez Graphiques des métriques.

    1. (Facultatif) Pour Statistique, ouvrez la liste déroulante, puis sélectionnez l’une des statistiques ou percentiles prédéfinis. Vous pouvez utiliser le champ de recherche de la liste déroulante pour spécifier un centile personnalisé, tel que p95.45.

    2. (Facultatif) Pour Période, ouvrez la liste déroulante, puis sélectionnez l’une des périodes d’évaluation prédéfinies.

      Note

      Lorsque CloudWatch évalue votre alerte, il agrège la période en un seul point de données. Pour une alarme de détection des valeurs aberrantes, la période d’évaluation doit être d’une minute ou plus.

  7. Choisissez Suivant.

  8. Sous Conditions, spécifiez les éléments suivants :

    1. Sélectionnez Détection des valeurs aberrantes.

      Si le modèle correspondant à cette métrique et à cette statistique existe déjà, CloudWatch affiche un aperçu de la bande de détection des valeurs aberrantes dans le graphique, en haut de l’écran. Après avoir créé votre alarme, l’affichage de la bande réelle de détection des valeurs aberrantes dans le graphique peut prendre jusqu’à 15 minutes. Avant cela, la bande visible n’est qu’une approximation de la bande de détection des valeurs aberrantes.

      Astuce

      Pour afficher le graphique pour une période plus longue, choisissez Edit (Modifier) en haut à droite de la page.

      Si le modèle correspondant à cette métrique et à cette statistique n’existe pas encore, CloudWatch génère la bande de détection des valeurs aberrantes une fois que vous avez terminé la création de l’alarme. Pour les nouveaux modèles, l’apparition de la bande réelle de détection des valeurs aberrantes dans le graphique peut prendre jusqu’à trois heures. L’apprentissage d’un nouveau modèle peut prendre jusqu’à deux semaines, afin que la bande de détection des valeurs aberrantes affiche des valeurs prévues plus précises.

    2. Quel que soit l'emplacement de la métrique, précisez l'heure de déclenchement de l'alerte. Par exemple, lorsque la métrique est supérieure, inférieure ou se trouve hors de la bande (dans chacune des directions).

    3. Pour Seuil de détection des valeurs aberrantes, sélectionnez le nombre à utiliser pour le seuil de détection des valeurs aberrantes. Un nombre plus élevé crée un groupe plus épais de valeurs « normales » qui est plus tolérant aux changements de métrique. Un nombre moins élevé crée un groupe plus fin qui passera à l'état ALARM avec des déviations de métriques plus petites. Le nombre ne doit pas nécessairement être un nombre entier.

    4. Sélectionnez Additional configuration (Configuration supplémentaire). Pour Datapoints to alarm (Points de données avant l'alerte), spécifiez le nombre de périodes d'évaluation (points de données) devant être à l'état ALARM pour déclencher l'alerte. Si les deux valeurs sont compatibles, vous créez une alerte qui passe à l'état ALARM lorsque le nombre de périodes consécutives dépasse ces valeurs.

      Pour créer une alerte M sur N, spécifiez un nombre pour la première valeur qui est inférieur à celui de la deuxième valeur. Pour de plus amples informations, consultez Évaluation d'une alerte.

    5. Pour Missing data treatment (Traitement des données manquantes), choisissez comment l'alerte doit se comporter lorsqu'il manque certains points de données. Pour plus d'informations, consultez Configuration de la manière dont les alertes CloudWatch traitent les données manquantes.

    6. Si l'alerte utilise un centile comme statistique surveillée, une zone Percentiles with low samples (Centiles avec exemples de bas niveau) s'affiche. Utilisez-la pour choisir si vous souhaitez évaluer ou ignorer les cas avec des taux d'échantillons faibles. Si vous sélectionnez Ignore (ignorer : conserver l'état d'alerte), l'état actuel de l'alerte est toujours conservé lorsque la taille de l'échantillon est trop réduite. Pour plus d'informations, consultez . alertes CloudWatch basées sur les centiles et échantillons de données faibles.

  9. Choisissez Next (Suivant).

  10. Sous Notification, sélectionnez la rubrique SNS qui doit recevoir une notification lorsque l'alerte passe à l'état ALARM, OK ou INSUFFICIENT_DATA.

    Pour envoyer plusieurs notifications pour le même état d'alerte ou pour les différents états d'alerte, sélectionnez Add notification (Ajouter une notification).

    Sélectionnez Remove (Supprimer)si vous ne voulez pas que l'alerte envoie de notifications.

  11. Vous pouvez configurer l’alarme pour qu’elle exécute des actions EC2 ou invoque une fonction Lambda lorsqu’elle change d’état, ou pour qu’elle crée un OpsItem ou un incident de Systems Manager lorsqu’elle passe à l’état ALARME. Pour ce faire, sélectionnez le bouton approprié, puis sélectionnez l'état d'alerte et l'action à effectuer.

    Si vous choisissez une fonction Lambda comme action d’alarme, vous spécifiez le nom de la fonction ou l’ARN, et vous pouvez éventuellement choisir une version spécifique de la fonction.

    Pour plus d'informations sur les actions de Systems Manager, consultez Configuration de CloudWatch pour créer des OpsItems à partir d'alertes et Création d'incidents.

    Note

    Pour créer une alerte qui exécute une action AWS Systems Manager Incident Manager, vous devez disposer de certaines autorisations. Pour plus d'informations, consultez Exemples de stratégies basées sur l'identité pour AWS Systems Manager Incident Manager.

  12. Choisissez Suivant.

  13. Sous Add a description (Ajouter une description), saisissez un nom et une description pour l'alerte et choisissez Next (Suivant). Le nom ne doit contenir que des caractères UTF-8 et ne peut pas contenir de caractères de contrôle ASCII. La description peut inclure le format markdown, qui s'affiche uniquement dans l'onglet Détails de l'alerte de la console CloudWatch. Le markdown peut être utile pour ajouter des liens vers des runbooks ou d'autres ressources internes.

    Astuce

    Le nom de l'alerte ne doit contenir que des caractères UTF-8 et ne peut pas contenir de caractères de contrôle ASCII.

  14. Dans Preview and create (Prévisualiser et créer), confirmez que les informations et les conditions sont correctes, et choisissez Create alarm (Créer une alerte).

Modification d’un modèle de détection des valeurs aberrantes

Après avoir créé une alarme, vous pouvez ajuster le modèle de détection des valeurs aberrantes. Vous pouvez exclure certaines périodes d'utilisation dans la création du modèle. Il est essentiel d'exclure des données d'apprentissage les événements inhabituels tels que les pannes du système, les déploiements et les périodes de congés. Vous pouvez également spécifier si le modèle doit être ajusté aux modifications relatives à l'heure d'été.

Pour modifier le modèle de détection des valeurs aberrantes pour une alarme

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Alarms (alertes), All alarms (Toutes les alertes).

  3. Sélectionnez le nom de l'alerte. Si nécessaire, utilisez la zone de recherche pour trouver l'alerte.

  4. Sélectionnez Afficher, puis Dans les métriques.

  5. Dans la colonne Détails, sélectionnez le mot clé ANOMALY_DETECTION_BAND, puis sélectionnez Modifier le modèle de détection des valeurs aberrantes dans la fenêtre contextuelle.

    L’onglet Graphiques des métriques affiche le menu contextuel ANOMALY_DETECTION_BAND.

  6. Pour exclure une période dans la production du modèle, sélectionnez l'icône de calendrier par Date de fin. Ensuite, sélectionnez ou saisissez les jours et heures à exclure de la formation, puis sélectionnez Apply (Appliquer).

  7. Si la métrique est sensible au changement d'heure, sélectionnez le fuseau horaire approprié dans la zone Metric timezone (Fuseau horaire de la métrique).

  8. Sélectionnez Update (Mettre à jour).

Suppression d’un modèle de détection des valeurs aberrantes

L’utilisation de la détection des valeurs aberrantes pour une alarme entraîne des frais supplémentaires. Selon les bonnes pratiques, si votre alarme n’a plus besoin d’un modèle de détection des valeurs aberrantes, supprimez d’abord l’alarme, puis le modèle. Lorsque des alarmes de détection des valeurs aberrantes sont évaluées, tout détecteur d’anomalies manquant est créé automatiquement en votre nom. Si vous supprimez le modèle sans supprimer l'alerte, l'alerte recrée automatiquement le modèle.

Pour supprimer une alerte

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Alarms (alertes), All Alarms (Toutes les alertes).

  3. Sélectionnez le nom de l'alerte.

  4. Sélectionnez Actions, Supprimer.

  5. Dans la boîte de confirmation, sélectionnez Supprimer.

Pour supprimer un modèle de détection des valeurs aberrantes utilisé par une alarme

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Metrics (Métriques), puis choisissez All metrics (Toutes les métriques).

  3. Sélectionnez Parcourir, puis sélectionnez la métrique associée au modèle de détection des valeurs aberrantes. Vous pouvez rechercher la métrique dans le champ de recherche ou la sélectionner parmi les options.

    • (Facultatif) Si vous utilisez l’interface d’origine, sélectionnez Toutes les métriques, puis sélectionnez la métrique qui contient le modèle de détection des valeurs aberrantes. Vous pouvez rechercher la métrique dans le champ de recherche ou la sélectionner parmi les options.

  4. Choisissez Graphed metrics (Graphique des métriques).

  5. Dans l’onglet Graphique des métriques, dans la colonne Détails, sélectionnez le mot clé ANOMALY_DETECTION_BAND, puis sélectionnez Supprimer le modèle de détection des valeurs aberrantes dans la fenêtre contextuelle.

    L’onglet Graphiques des métriques affiche le menu contextuel ANOMALY_DETECTION_BAND.

    • (Facultatif) Si vous utilisez l'interface d'origine, sélectionnez Edit model (Modifier le modèle). Vous êtes redirigé vers un nouvel écran. Sur le nouvel écran, sélectionnez Delete model (Supprimer le modèle), puis cliquez sur Delete (Supprimer).