Re-notification
Comment et quand Stealed vous re-notifie sur un événement ouvert. Rappels temporels et volumiques.
Une fois qu'un événement est ouvert, Stealed doit décider quand vous pinger à nouveau sur l'activité en cours. Deux mécanismes couvrent les deux scénarios que vous rencontrerez en pratique : les rappels temporels pour les incidents qui durent, et les rappels volumiques pour les pics.
Re-notification temporelle
Cadence par défaut : 24 heures entre deux notifications sur le même événement.
Après qu'un événement se déclenche et que la notification initiale part, l'événement reste ouvert. Si vous ne le clôturez pas, Stealed envoie un rappel toutes les 24h sur tous les canaux attachés.
Utilisez ceci pour les incidents où le volume des fuites correspondantes ne change pas beaucoup au fil du temps mais où vous voulez quand même un rappel quotidien jusqu'à la clôture.
Vous pouvez changer l'intervalle par monitor : ouvrez le monitor, éditez Time-based renotification, choisissez une autre durée (1h, 6h, 12h, 24h, 48h, personnalisé).
Re-notification volumique
Threshold par défaut : 10 nouvelles fuites correspondantes depuis la dernière notification.
Quand le compteur de nouvelles fuites ajoutées à un événement ouvert depuis la dernière notification atteint le threshold configuré, Stealed déclenche un rappel sans attendre le timer temporel.
Un plancher de 15 minutes entre deux rappels empêche les rafales soudaines de spammer le canal : même si 100 nouvelles fuites arrivent en 5 minutes, un seul rappel se déclenche.
Utilisez ceci pour les monitors où un pic soudain est le vrai signal qui vous intéresse. Le défaut de 10 fonctionne bien pour la plupart des setups, mais vous pouvez l'ajuster par monitor.
Événements acquittés
Quand vous acquittez un événement, vous signalez que quelqu'un est en train de le traiter. Stealed considère ça comme une demande d'arrêter les rappels quotidiens : la re-notification temporelle est suspendue sur les événements acquittés.
La re-notification volumique reste active. Si de nouvelles fuites correspondantes s'accumulent au-dessus du threshold pendant que l'événement est acquitté, un rappel se déclenche pour que vous ne ratiez pas l'incident qui s'aggrave en silence.
| Statut de l'événement | Rappel temporel | Rappel volumique |
|---|---|---|
| Ouvert | Actif | Actif |
| Acquitté | Suspendu | Actif |
| Clôturé | Suspendu (événement terminé) | Suspendu (événement terminé) |
Acquitter est donc un acte délibéré : "Je m'en occupe, ne me re-pingez que s'il se passe vraiment quelque chose de nouveau". L'événement n'est pas clos, donc l'audit trail et la timeline d'activité restent intacts.
Comment ils se combinent
Les deux mécanismes peuvent être actifs en même temps sur le même monitor. Le premier des deux thresholds atteint déclenche le rappel.
Exemple
Monitor acme.com avec :
- Re-notif temporelle : 24h
- Re-notif volumique : 10 nouvelles fuites
| Heure | Événement | Ce qui se passe |
|---|---|---|
| Jour 1, 10:00 | 5 fuites arrivent, threshold atteint | Événement ouvert. Notif initiale. |
| Jour 1, 11:00 | 8 fuites supplémentaires arrivent | Événement ouvert. matched_count=13. Pas de notif (threshold volumique non atteint depuis la dernière notif : 8 < 10). |
| Jour 1, 12:00 | 3 fuites supplémentaires arrivent | Threshold volumique atteint : 11 ≥ 10. Rappel volumique déclenché. Compteur réinitialisé. |
| Jour 1, 14:00 | 2 fuites supplémentaires arrivent | matched_count=18. Pas de notif (volume non atteint, temps non atteint). |
| Jour 2, 12:00 | Aucune nouvelle fuite | 24h depuis la dernière notif, rappel temporel déclenché. Compteur réinitialisé. |
Planchers et limites
| Mécanisme | Plancher / limite |
|---|---|
| Temporel | Minimum 1 heure entre deux rappels |
| Volumique | Minimum 15 minutes entre deux rappels, même si le threshold est atteint à nouveau |
| Limite de débit par canal | Slack : 1 message / seconde par workspace ; Teams : 4 messages / seconde ; Webhook : pas de limite ; Email : 100 / heure par destinataire |
Si la limite de débit par canal est atteinte, Stealed met en buffer et retente. Les notifications sont finalement livrées mais peuvent arriver avec quelques secondes de retard.
Désactiver la re-notification
Vous pouvez désactiver entièrement la re-notification sur un monitor en mettant les deux thresholds à "Never". Le monitor déclenchera la notification initiale une fois et ne re-notifiera jamais, même si l'événement reste ouvert pendant des semaines.
C'est utile pour les monitors à très faible volume où n'importe quel signal suffit, et où vous préférez vérifier l'événement manuellement.
La suite
- Mettre un monitor en sourdine : silencer TOUTES les notifications pendant une fenêtre définie, indépendamment des réglages de re-notification.
- Déduplication : comment les nouvelles fuites sont attribuées à un événement ouvert ou ouvrent un nouveau.
Déduplication
Comment Stealed évite de créer des événements en double depuis le même monitor, et pourquoi vos alertes ne signalent que des fuites véritablement nouvelles.
Mettre un monitor en sourdine
Silencer un monitor pendant une fenêtre définie sans perdre son état. Utile pour les fenêtres de maintenance ou le triage actif.