# アラートインシデント分析 ## 定義 アラートインシデント分析(Alert Incident Analysis)は、同一システム障害から生じた alert の集合(alert incident)を入力として、(1) 各 alert が記録する局所異常の理解、(2) 異常の伝播プロセスの推論、(3) originating anomaly を記録する **originating alert** の特定の 3 ステップを行うタスクである。[[@2025__FASE__VOCE - A Virtual On-Call Engineer for Automated Alert Incident Analysis Using a Large Language Model|VOCE(Chen+ FASE2025)]] が最初に体系的に定式化した([[@2025__FASE__VOCE - A Virtual On-Call Engineer for Automated Alert Incident Analysis Using a Large Language Model]] §1)。 アラート集約([[アラート集約]])が「同一根本原因の alert を束ねる」までを担うのに対し、アラートインシデント分析はその後段で「束ねた中で どれが root cause か」を推定する。VOCE 以前は手作業に依存しており(operations engineer の判断)、自動化研究の対象として独立した位置を持つ。 ## 横断的知見 - [[@2025__FASE__VOCE - A Virtual On-Call Engineer for Automated Alert Incident Analysis Using a Large Language Model|VOCE(Chen+ FASE2025)]] が概念を導入し、3 つの key information factors(system layer / impact scope / severity)を originating alert 判定基準として実データで検証した(Company A 827 incidents、各 factor で 93-95% 一致、Order = 45.34%)。「時間順最初の alert = 根本原因」という暗黙仮定が半数のケースで誤りであることを実証した点が重要。 - 単一ソースのため、本節は VOCE が他研究と並ぶ次の取り込みで充実する予定。 ## 未解決の問い - VOCE が示した 3 因子(layer / scope / severity)の汎用性は不明。Company A(銀行系、billion-user)以外のドメイン(SkyNet のネットワーク監視、Zha+ の電力業界)で再測定が必要。 - alert incident 分析と alert linking(集約)の境界はどう設計すべきか。VOCE は linking を他研究に委ね、分析は LLM × 階層分解で完結させる二段構成だが、両者を一体設計したとき意思決定の質が上がるか、複雑度だけ増えるかは未検証。 - LLM ベース手法(VOCE)と非 LLM(eigenvector centrality 単独で alert ベクトル上に適用するなど)の比較研究はない。LLM の "in-depth" 分析がどれだけ正味の改善を生むか。 - VOCE は alert incident 分析を「分析のみ」とし mitigation は engineer に任せる。analysis → mitigation の自動化への拡張は §6.2 で著者自身が次の挑戦と認めている。 ## 関連 - 親概念: [[アラート集約]](前段)、[[インシデント管理]](全体プロセス) - 兄弟概念: [[Fault Localization]]、[[根本原因分析]]、[[LLMによる根本原因分析]] - 関連手法: VOCE(Chen+ FASE2025、3 因子 × LLM × 階層 causality mining) - ソース: [[@2025__FASE__VOCE - A Virtual On-Call Engineer for Automated Alert Incident Analysis Using a Large Language Model]] ## 出典 - [[@2025__FASE__VOCE - A Virtual On-Call Engineer for Automated Alert Incident Analysis Using a Large Language Model]] §1(概念導入)、§3.2(3 因子の実データ統計)、§4(VOCE 設計)、§5(実験)