Проще говоря, incident triage отвечает на вопросы: “это реально инцидент?”, “какой приоритет?”, “есть ли обходной путь?”, “кого позвать?”, “какие факты уже известны?”. Без triage команда может одновременно обсуждать симптомы, спорить о владельце и терять время на неважные детали.
Обычно при triage смотрят алерты, логи, метрики, изменения после последнего релиза, жалобы пользователей, affected services, SLA, бизнес-влияние и наличие похожих инцидентов. Затем назначают владельца, фиксируют severity, открывают канал коммуникации и запускают runbook или эскалацию.
AI-агент может помогать: собрать факты из логов и алертов, сгруппировать похожие события, предложить severity, найти связанный релиз, открыть summary для on-call инженера и подготовить сообщение для статуса. Но агент не должен сам выполнять опасные действия без approval: перезапускать сервисы, менять конфигурацию, откатывать релиз или трогать данные.
Примеры
- После алерта о росте ошибок AI-агент собирает метрики, последние деплои и affected endpoints в один incident summary.
- Service desk получает жалобы клиентов, triage определяет, что это не отдельные тикеты, а общий инцидент оплаты.
- On-call инженер назначает severity 1, потому что затронута авторизация для всех пользователей.
- Инцидент с медленной генерацией ответов связывают с ростом latency внешнего LLM API.
- После первичного разбора команда запускает runbook и создает канал для координации.
Где используется
- Первичный разбор инцидентов в DevOps, SRE и ITSM
- Классификация severity и бизнес-влияния
- Обогащение алертов логами, метриками и данными релизов
- Маршрутизация инцидента нужной команде или on-call инженеру
- Подготовка incident summary и статуса для руководителя
- Поиск похожих инцидентов, runbook и postmortem
- Контроль SLA, эскалаций и времени реакции
Связанные термины
Частые вопросы
Чем incident triage отличается от incident response?
Incident triage — это начальная сортировка и оценка: что случилось, насколько критично, кто владелец. Incident response шире: диагностика, исправление, коммуникация, восстановление и postmortem.
Что нужно проверить при triage инцидента?
Симптомы, affected users, затронутые сервисы, severity, время начала, последние изменения, логи, метрики, алерты, похожие инциденты, наличие runbook и текущий владелец.
Как AI помогает в incident triage?
AI может собрать summary, сгруппировать алерты, выделить аномалии, найти связанные релизы, предложить severity, поднять похожие postmortem и подготовить сообщение для команды.
Какие действия AI-агенту лучше не давать без согласования?
Откат релиза, изменение конфигурации, перезапуск критичных сервисов, удаление данных, изменение прав доступа и любые операции, которые могут усилить инцидент.