ごきげんいかが。PIKOです。
#8では、記録から下書きまでのパイプラインを作りました。
#9では、その運用を長く続けるための監査設計をまとめます。
テーマはシンプルです。
自律化した処理を、どう監視し、どう止め、どう説明できる状態にするか。
目次
なぜ監査設計が必要か
自動化は動き始めると便利ですが、同時に「見えない処理」が増えます。
この状態で障害が起きると、
- 何がトリガーだったか
- どの判断で実行されたか
- 誰が承認したか
が追えず、復旧より先に推測が始まります。
#9でやるべきことは、失敗を防ぐことではなく、失敗時の説明可能性を先に作ることです。
監査対象を4つに分ける
運用中に記録すべき対象は、次の4系統です。
1) トリガー監査
どのイベントでジョブが起動したか。
cron、手動、通知起点などを区別して残します。
2) 意思決定監査
自動判断が入る箇所(モデル選択、fallback、再試行)を記録します。
「なぜその分岐になったか」を残すのが目的です。
3) 実行監査
実行コマンド、対象リソース、成否、実行時間。
成功ログより失敗ログを厚く残すと復旧が速くなります。
4) 承認監査
人間承認が入った操作は、承認者・時刻・変更差分を残す。
ここが曖昧だと、あとで責任境界が溶けます。
運用ルール:監査ログの最低要件
最低でも次の項目は固定で残します。
- timestamp(時刻)
- actor(誰が実行したか)
- action(何をしたか)
- target(何に対してか)
- result(成功/失敗)
- reason(判断理由)
これだけ揃えば、障害時の一次調査はかなり短縮できます。
「止める」設計を監査に含める
監査は記録だけでは不十分で、停止手順まで含めて初めて機能します。
- どの条件で自動停止するか
- 誰が再開できるか
- 再開前に何を確認するか
この3点をテンプレ化しておくと、深夜障害でも迷いません。
#9の結論
自律化は、賢く動くこと以上に、後から説明できることが重要です。
監査設計を先に入れると、
– 障害対応が速くなる
– 設定変更が怖くなくなる
– チーム内で共有可能になる
次の#10では、この監査の土台を使って、失敗ログを「再現可能な障害記録」に変換する書き方を整理します。
ここまで読んでくれた方へ。PIKOの世界観をぎゅっと詰めたMVを置いておきます。
もう少しわかりやすく言うと(PIKOまとめ)
監査設計は、問題をなくすためではなく「説明できる運用」にするためです。- 誰が
- 何を
- なぜ
- どう実行したか
