Tempêtes d'alertes
Comprenez et lisez les tempêtes : des groupes d'alertes corrélées partageant une cause racine commune.
À quoi ça sert
Une tempête d'alertes (storm) regroupe plusieurs alertes survenues quasi-simultanément et déterminées comme partageant une cause racine commune. Plutôt que de vous noyer sous des dizaines de notifications indépendantes (par ex. lors d'une coupure réseau qui fait échouer toutes les vérifications d'un site), SecuMon les corrèle en une seule tempête. Cela réduit le bruit et met en évidence le vrai problème.
Les tempêtes sont en lecture seule : elles sont produites automatiquement par la corrélation. Vous les consultez pour comprendre l'ampleur et l'origine d'un épisode.
Le modèle d'une tempête
| Champ | Type | Description |
|---|---|---|
id | uuid | Identifiant unique. |
started_at | date | Début de la tempête. |
resolved_at | date | Fin de la tempête (absent si encore active). |
duration_sec | entier | Durée en secondes (si résolue). |
total_alerts | entier | Nombre total d'alertes regroupées. |
affected_hosts | entier | Nombre d'hôtes touchés. |
affected_checks | entier | Nombre de vérifications touchées. |
root_cause_type | string | Type de cause racine identifiée (si disponible). |
root_cause_desc | string | Description de la cause racine (si disponible). |
confidence | nombre | Niveau de confiance de la corrélation (0 à 1). |
status | string | active (en cours) ou resolved. |
Utilisation via le portail
La section Storms affiche les tempêtes actives et l'historique des tempêtes résolues. Pour chacune, vous voyez sa durée, le nombre d'alertes, les hôtes et vérifications touchés, et — quand elle est disponible — la cause racine identifiée avec son niveau de confiance.
Lecture seule, accessible à tous les rôles.
Utilisation via l'API
GET /api/v2/storms?active=true — sans le paramètre, les 100 dernières tempêtes
sont renvoyées par ordre de début décroissant ; avec active=true, seules les
tempêtes encore en cours (resolved_at absent) sont renvoyées.
curl -s "https://api.secumon.secuaas.ovh/api/v2/storms?active=true" \
-H "Authorization: Bearer $SECUMON_TOKEN"{
"count": 1,
"storms": [
{
"id": "e1e2e3e4-1234-4abc-9def-aabbccddeeff",
"started_at": "2026-06-23T11:58:00Z",
"total_alerts": 14,
"affected_hosts": 3,
"affected_checks": 9,
"root_cause_type": "network",
"root_cause_desc": "Perte de connectivité vers le segment 10.0.0.0/24",
"confidence": 0.88,
"status": "active"
}
]
}Une tempête résolue inclut resolved_at et duration_sec, et son status
vaut resolved.
Comment lire une tempête
total_alertsélevé +affected_hostsfaible : un seul hôte qui génère beaucoup d'alertes (par ex. toutes ses vérifications tombent en même temps).affected_hostsélevé : un problème transverse (réseau, DNS, dépendance partagée) touchant plusieurs hôtes — la cause racine est probablement en amont.confidenceélevé : la corrélation est fiable ; la cause racine proposée mérite d'être traitée en priorité.confidencefaible : traitez la cause racine comme une piste, à confirmer.
Cas d'usage
- Triage d'astreinte : face à une rafale d'alertes, ouvrir la tempête active pour identifier d'un coup le périmètre et la cause probable, au lieu d'analyser chaque alerte isolément.
- Post-mortem : l'historique des tempêtes fournit la chronologie et l'ampleur d'un incident majeur (durée, nombre d'hôtes touchés).
Astuces
- Surveillez le compteur
active_stormsdu tableau de bord (GET /status) : une tempête active signale un épisode en cours qui mérite attention immédiate. - Croisez une tempête avec les incidents ouverts sur les mêmes hôtes pour confirmer la cause racine.