根因分析：多维指标下的故障溯源方法

{service="payment", endpoint="/pay", status="500", region="cn-east", client="android", version="8.2"}

只有标签体系足够丰富且规范，后续的维度下钻算法才可能有效工作。

---

## 5. 主流多维根因定位方法论

### 5.1 基于维度下钻的异常定位

这类方法从整体指标异常出发，不断寻找对整体异常贡献最大的维度值，逐步缩小范围。

**基本流程：**
1. 检测到全局指标发生异常（如支付成功率从 99.5% 跌至 97%）。
2. 对每个维度（如 `status`、`region`），计算不同维度值下的“异常贡献度”。
3. 选择贡献最高的维度值进行下钻，提取对应的子数据视图。
4. 在子视图内继续对其他维度进行下钻，直到维度组合不再显著提高异常解释力。

**常用算法思路：**
- **涟漪效应（Ripple Effect）**：计算每个属性值组合的变化量和占比，以及对整体变化量的贡献，优先选择贡献最大的属性。
- **Adtributor 算法**：通过计算“解释力”（Explanatory Power）和“意外度”（Surprise），自动定位最可能的核心维度。解释力衡量某属性值异常变化占整体变化的百分比；意外度则衡量该属性值变化与其历史模式的偏离程度。

### 5.2 相关性分析与因果推断

多维下钻只能找到“异常聚集在哪里”，但不一定给出因果关系。例如，错误率升高和 CPU 升高可能同时发生，但谁是因谁是果？

**常用手段：**
- **皮尔逊/斯皮尔曼相关系数**：快速发现时序上同步变化的指标对。
- **格兰杰因果检验（Granger Causality）**：在时间序列模型中，判断一个指标的历史值是否有助于预测另一个指标的当前值，从而推测因果方向。
- **因果图学习（Causal Graph）**：使用 PC 算法、LiNGAM 等从观测数据中学习变量间的因果结构，构建故障传播图。
- **传播拓扑分析**：借助服务调用链（Trace）和部署拓扑，将相关性约束在物理可行的调用链路上，过滤掉虚假关联。

### 5.3 故障树与事件序列分析

对于已知的故障模式，可以构建故障树（Fault Tree），将顶层故障事件（服务不可用）层层分解为必要条件（数据库断连、机房断电、证书过期）。在实时分析时，只要观察到的症状满足某个最小割集，就能快速匹配到根因。

### 5.4 基于机器学习的根因推荐

当历史故障案例足够多时，可使用监督学习将多维异常模式映射到已知根因。特征通常包括：
- 维度组合的异常分值
- 指标变化的时序形状（突刺、缓升、周期性）
- 变更事件（发布、配置改动）的时间距离

模型输出候选根因及其概率，辅助人工决策。

---

## 6. 实战步骤：从告警到根因报告

### 步骤 1：确认异常并圈定初步范围
收到告警后，第一时间确认是否为真实异常，并查看受影响的服务、接口、用户群的大致边界。利用大屏或总览面板快速理解异常扩散面。

### 步骤 2：冻结时间窗口并提取多维数据
选取故障开始时间点前后 30 分钟的窗口，提取所有相关服务的多维度指标快照。确保数据包含基线（通常为同比或前日同时段）。

**工具示例：**
```sql
-- 提取某个服务的错误率维度快照（伪代码）
SELECT region, client, endpoint, status,
       sum(errors)/sum(total) as error_rate,
       lag(error_rate, 30) over(partition by ...) as baseline
FROM metrics
WHERE timestamp between T1 and T2
GROUP BY region, client, endpoint, status;