Автоматическая корреляция данных: почему современные инструменты мониторинга терпят неудачу

Когда возникает производственная проблема, начинается гонка за поиском данных, которые покажут, что пошло не так. И во многих инженерных организациях поиск данных занимает больше времени, чем понимание сути ошибки или написание кода для ее исправления.

Это то, что я называю «проблемой корреляции»: необходимая для отладки информация существует, но она разбросана по множеству инструментов, систем и файлов журналов.

Самое неприятное? У нас сейчас больше инструментов для этого, чем когда-либо. Компании в среднем используют более 8 инструментов мониторинга.

Да, действительно, распределенная трассировка помогает, инструменты APM имеют функции корреляции, и пользовательское логирование работает. Но ни один из этих подходов полностью не решает основную проблему автоматического соединения точек по всему вашему стеку — например, связывания ошибки на фронтенде с запросом на бэкенде и вызовом внешнего API.

Последствия ручной работы по сопоставлению данных быстро накапливаются. Один «незначительный» инцидент, требующий ручного сопоставления данных между несколькими командами, отнимает часы инженерного времени. Если же это распространится на десятки проблем в месяц, то вы увидите сотни часов работы инженеров (и тысячи долларов), потерянных просто на поиск информации.

В этой статье рассматривается, почему корреляция остается узким местом, чего не хватает существующим решениям и что появляется для решения этой проблемы.

Конкретный пример: поиск сквозных данных запроса/ответа.

Давайте рассмотрим реальную ситуацию: клиент сообщает, что оформление заказа периодически не удается. Никакого сообщения об ошибке — просто вращающийся индикатор загрузки, который в итоге завершается с ошибкой по истечении времени ожидания. Заявка в службу поддержки передается в техническую поддержку.

Что вам нужно знать:

- Что именно пользователь указал в форме оформления заказа?

- Какой запрос ваш фронтенд отправил вашему бэкенду?

- Какие данные отправляла ваша внутренняя система платежному процессору (Stripe, PayPal и т. д.)?

- Что вернул платежный процессор?

- На каком этапе этой цепочки произошел сбой?

Именно здесь на первый план выходят данные запроса/ответа. Они показывают фактический поток данных в вашей системе: что содержал запрос и что было получено в ответ.

Вот как процесс отладки: обычно выглядит

Шаг 1: Исследование фронтенда.

Вероятно, для начала вам нужно открыть инструменты разработчика в браузере, чтобы воспроизвести проблему. Проверьте вкладку «Сеть» для вызова API оформления заказа, найдите полезную нагрузку запроса, отправленного браузером, и сделайте снимок экрана, чтобы поделиться им с остальной командой в ветке Slack.

Шаг 2: Исследование внутренней структуры системы.

Далее вы переключаетесь на платформу логирования (Datadog, Splunk, CloudWatch и т. д.) и ищете идентификатор запроса или метку времени на стороне клиента. Вы анализируете JSON-логи, чтобы найти, что получил бэкэнд, подтверждаете, что запрос был успешно выполнен, и проверяете, что было отправлено платежному процессору.

В чём проблема? В журналах указано, что звонок был совершён, но не вся переданная полезная нагрузка.

Шаг 3: Исследование внешних поставщиков услуг.

Затем вы входите в панель управления Stripe, чтобы найти транзакцию по временной метке или идентификатору клиента. Вот где обнаруживается первопричина: в данных отображается несоответствие валют. Фронтенд отправил доллары США, бэкенд перенаправил их, но в учетной записи клиента указана валюта евро. Платежный процессор отклонил запрос с ошибкой проверки, которая так и не передалась обратно на фронтенд.

Само исправление? Всего 10 минут на добавление корректной обработки валют. Однако время, необходимое для выявления некорректной обработки поля валюты — переключение контекста, копирование и вставка, а также ручная корреляция — быстро увеличивается.

Это и есть корреляционный налог в действии. Данные существуют в вашем браузере, в логах бэкэнда и в API Stripe. Но поскольку они не были автоматически связаны, инженеру приходится тратить время на расследование.

Почему существующие подходы не решают эту проблему в полной мере

Корреляция может быть проведена вручную, но…

Ручная корреляция — это то, что большинство команд делают по умолчанию, но, как мы видели, она не масштабируема. Это трудоемкий, подверженный ошибкам процесс (представьте, что вы пропустили нужную строку лога или неправильно прочитали метку времени) и требующий специальных знаний: нужно знать, где искать и как использовать все инструменты.

Для небольших команд с простыми стеками технологий ручная корреляция данных — это утомительный, но выполнимый процесс. Для средних и крупных компаний с микросервисами, множеством баз данных и внешними зависимостями это превращается в настоящую яму для повышения производительности.

Распределенная трассировка может помочь, но…

Инструменты распределенной трассировки, такие как Jaeger, Zipkin или решения на основе OpenTelemetry (Honeycomb, Lightstep), призваны решить часть этой проблемы. Они отслеживают запросы по мере их прохождения через ваши сервисы, показывая вам путь и задержку на каждом этапе.

В чём заключаются недостатки корреляционного анализа:

- Часто полезная нагрузка не фиксируется: трассировка показывает, что вызов состоялся, но не какие данные в нём содержались. Вы видите диапазон вызовов, но не тело запроса или ответ.

- Требуется инструментарий: необходимо добавить распространение контекста трассировки к каждой службе, что требует времени и постоянного обслуживания.

- Внешние сервисы — это «чёрные ящики»: когда ваш бэкэнд обращается к сервисам Stripe, Twilio или AWS, трассировка заканчивается на вашем уровне доступа. Вы не видите, что вы отправили или что они вернули, если явно не зарегистрируете это в логе.

- Выборка может привести к пропуску критически важных запросов: для контроля затрат многие команды отбирают пробы трассировки (1–10% трафика). Если неудачный запрос не был выбран для выборки, трассировки вообще нет.

Распределенная трассировка дает вам общую картину произошедшего. Но для отладки самой проблемы вам все равно нужна «кровь» (то есть, полезная нагрузка), а это обычно требует обращения к логам или внешним панелям мониторинга.

Пользовательская система логирования работает, но…

Многие команды решают проблему видимости полезной нагрузки, добавляя пользовательские функции логирования:

logger.info("Payment request sent", payload)

Это работает, и именно так большинство внутренних систем собирают подробные данные.

В чём заключаются недостатки:

- Требуется планирование и дисциплина: каждой службе необходимы средства мониторинга.

- Это создает еще одно хранилище данных: журналы могут храниться в отдельной системе (Splunk, Elasticsearch, CloudWatch и т. д.). Вам все равно придется сопоставлять их с ошибками на стороне клиента, трассировками и панелями мониторинга внешних API.

- Объём и стоимость: Запись полных данных для каждого запроса приводит к огромным объёмам информации. Для облачных сервисов логирования (CloudWatch, Stackdriver, Datadog Logs) затраты напрямую зависят от объёма. В случае с самостоятельным управлением решениями (Elasticsearch, Loki) производительность хранения и запросов снижается. В любом случае, командам приходится отбирать или удалять конфиденциальные поля, а это значит, что данные не всегда доступны, когда они нужны.

- Поиск: Чтобы найти нужную строку в логах среди гигабайтов данных, необходимо знать точный идентификатор запроса, метку времени или сигнатуру ошибки. Без этого вы будете искать вслепую.

Создание пользовательских логов — мощный, но трудоемкий процесс. Он смещает проблему корреляции с «данных не существует» на «данные где-то существуют».

Инструменты APM обладают функциями корреляции, но…

Современные платформы APM, такие как Datadog, New Relic, Dynatrace и Honeycomb, теперь предлагают функции корреляции: связывание трассировок с логами, сопоставление ошибок бэкэнда с сессиями фронтенда и сбор метаданных запросов.

Теоретически, эти инструменты могут перехватывать полные данные запроса/ответа. На практике же это редко удается.

Почему:

- Частичное покрытие стека: большинство инструментов APM в значительной степени ориентированы на бэкэнд-сервисы. Для обеспечения видимости на фронтенде требуются отдельные продукты (например, Datadog RUM — это надстройка с отдельной инструментацией), что приводит к фрагментации даже в рамках экосистемы одного поставщика.

- Сложность конфигурации: захват полной полезной нагрузки не происходит автоматически. Он требует специальной инструментации, настройки SDK и обеспечения корректного распространения контекста трассировки по всем сервисам. Для полиглотных или устаревших стеков это значительная и постоянная работа.

- Затраты в масштабе: Полное сканирование содержимого запроса становится непомерно дорогим. Для контроля затрат команды проводят агрессивную выборку данных или скрывают конфиденциальные поля, а это значит, что данные могут быть недоступны, когда они необходимы для неудачного запроса.

- Внешние зависимости остаются «слепыми пятнами»: хотя инструменты APM могут показать, что вы обращались к API Stripe и сколько времени это заняло, для фиксации отправленных или полученных данных требуется дополнительное логирование. Многие команды намеренно избегают логирования данных, передаваемых через внешние API, из-за соображений безопасности, соответствия нормативным требованиям или стоимости.

- Компромиссы, связанные с редактированием данных: В платежных системах, медицинских данных или персональных данных команды часто редактируют конфиденциальные поля по соображениям соответствия требованиям. Это означает, что из журналов удаляются именно те данные, которые привели к сбою (как в нашем примере с несоответствием валютных курсов).

Honeycomb и Datadog продвигают корреляцию дальше, чем большинство других платформ, но полная сквозная корреляция между фронтендом, бэкендом и внешними API по-прежнему остается проблемой конфигурации и затрат, а не стандартной функцией.

Автокорреляция: перспективное решение.

Общим моментом для всех этих подходов является то, что корреляция либо выполняется вручную, либо является неполной. Не хватает автоматического сбора и связывания данных по всей вашей системе без обширного мониторинга или ручной обработки.

Это то, что я называю автокорреляцией: автоматическое отслеживание всего пути данных по каждой проблеме.

Исходные методы не новы — распределенная трассировка, структурированное логирование и воспроизведение сессий уже существуют. Проблема заключается в их объединении: сочетание этих возможностей для фронтенда, бэкенда и сторонних API в едином рабочем процессе, без необходимости ручной настройки и сопоставления разрозненных инструментов.

В этой категории появляются такие инструменты, как Multiplayer, предназначенные для записи полных сессий, включая сквозные запросы/ответы, без дополнительных затрат, связанных с традиционными методами мониторинга.

Автокорреляция также открывает возможности для более эффективной отладки с помощью ИИ. Современные помощники по программированию на основе ИИ (GitHub Copilot, Cursor, ChatGPT и т. д.) ограничены контекстом, который они получают. Когда вы просите ИИ отладить проблему, вы обычно вставляете трассировку стека или сообщение об ошибке. ИИ предлагает потенциальные причины, но он делает предположения, основываясь на закономерностях. Он не знает, какие данные фактически проходили через вашу систему во время выполнения.

Благодаря автокоррелированным данным инструменты ИИ могут получить доступ к полной цепочке запрос/ответ: что отправил пользователь, как ваш бэкэнд это обработал, что вернули внешние API. Вместо общих рекомендаций, основанных на распространенных шаблонах, вы получаете конкретные указания, основанные на том, что фактически произошло в вашей системе.

Путь вперед

Проблема корреляции данных не нова, но к ней редко относятся как к первостепенной задаче в рамках рабочего процесса инженера. Команды воспринимают её как «просто часть отладки», а не как решаемую проблему, приводящую к неэффективности.

Инструменты, наконец, догоняют. Распределенная трассировка, платформы APM и мониторинг ошибок улучшили корреляцию в своих областях. Но полная сквозная корреляция (от фронтенда к бэкенду и внешним зависимостям, с полными полезными нагрузками, автоматически связанными) все еще является развивающимся решением.

Если вы руководитель инженерного отдела, вопрос не в том, отнимает ли у вас время корреляция. Вопрос в том, измеряете ли вы её и предпринимаете ли какие-либо действия для её улучшения.

Рекомендации разработчиков компании DST Global — начать отсюда.

- Проанализируйте последние пять инцидентов и оцените время, затраченное на поиск и устранение проблем.

- Определите, какие вопросы отнимают больше всего времени при работе с корреляцией.

- Оцените, решают ли ваши инструменты задачу корреляции или просто перемещают её.

По опыту разработчиков DST Global, команды, которые снижают свой «налог на корреляцию», быстрее устраняют инциденты и освобождают инженеров для работы, которая действительно продвигает бизнес вперед.