直达原文：【可观测系列】大模型技术在可观测领域的应用

01.前言

随着云计算、分布式、微服务等前沿技术的广泛应用，现代 IT 系统架构已经从传统的单体结构演进到分布式和云原生架构。这种转变虽然带来了灵活性和扩展性的显著提升，但同时也极大地增加了企业 IT 运维的复杂性，尤其是在构建有效的可观测性系统方面面临着前所未有的挑战。

• 全栈数据接入壁垒。在异构组件（例如 Kubernetes 集群、国产化数据库）间存在巨大适配差异，这不仅限制了数据的融合关联，也使得人工开发采集插件成为一项耗时且低效的工作。面对这一问题，大模型通过其卓越的代码生成能力，能够自动编写数据接入插件，完成数据格式清洗，极大提升了数据接入效率。

• 跨域根因分析低效。据统计，绝大部分的故障涉及数据库、网络、应用代码等多个技术栈层面，人工排查通常需要切换使用 5 至 8 种不同的运维工具才能找到原因。而大模型凭借其对多模态数据的理解能力、知识推理能力，则可以通过综合分析来自不同领域的信息，快速锁定问题根源。

• 故障复盘难以落地，故障反复出现。对于那些在重启后无法复现的故障，由于缺乏有效的根因追溯手段，容易造成隐患重复出现。大模型能够通过对历史数据的学习和理解，为这类难以捉摸的问题提供预防性建议，减少未来类似事件的发生概率。

综上所述，大模型技术以其独特的优势，在应对现代 IT 系统可观测性挑战中扮演着至关重要的角色。它不仅能帮助克服现有技术障碍，还能推动企业向更加智能化的运维模式转型。大模型凭借多模态理解、代码生成、知识推理能力，为上述问题提供了突破性解决方案。

02.大模型在可观测领域的应用

借助嘉为蓝鲸底座 LLMOps 开发平台，企业能够快速对接异构大模型，并利用其提供的智能体开发框架，结合私域知识和观测流数据，实现智能化运维场景的快速扩展。

通过智能编排与 FunctionCall 集成调度一体化运维平台的原子模块（如调度中心、作业中心、资源中心、监控中心、流程中心、操作中心等），显著提升了可观测系统的智能化水平，优化了从故障检测到复盘的完整运维生命周期。企业不仅能够实现对复杂 IT 环境的高效管理，还能通过全流程的智能化支持，显著提升系统稳定性、缩短故障解决时间，并促进运维工作的持续优化与智能化升级。

1）事前：预防与准备

• 监控检测：实时监控系统状态和性能指标，快速分析异常日志和告警，发现潜在问题。

• 告警通知：在异常发生时，辅助值班，及时发送告警信息给相关人员或系统，确保快速响应。

• 告警预案：辅助预先制定详细的告警处理方案，涵盖不同场景下的应对措施，以便快速处置。

2）事中：分析与处置

• 告警根因：深入分析告警的根本原因，快速定位问题源头。

• 告警关联：整合相关联的告警信息，帮助全面理解问题背景，便于更准确地判断状况。

• 日志分析：对系统日志进行深度解析，识别可能指向故障原因的关键线索。

• 故障影响：评估故障对业务和服务的具体影响范围，确定优先级。

• 故障定界：明确故障的具体边界，区分受影响区域与正常运行部分。

• 故障调度：根据故障性质和需求，灵活调度资源，为故障处理提供必要支持。

• 故障处置：实施具体的故障处理措施，尽快恢复正常服务。

• 预案推荐：根据当前情况推荐最适合的预设处理方案，加速决策过程。

3）事后：总结与优化

• 故障复盘：回顾整个故障处理过程，识别成功之处和需要改进的地方。

• 经验总结：汇总每次故障处理的经验教训，形成有价值的参考资料。

• 知识沉淀：将积累的知识自动转化为企业的内部存储，用于提升团队整体技术水平。

• 策略优化：基于学到的经验，不断优化监控策略，异常检测更加准确。

• 预案优化：更新和完善现有的应急预案，使其更加贴合实际情况。

• 告警治理：持续改进告警机制，减少误报和漏报，提高告警系统的可靠性和有效性。

4）大模型智能化运维的关键支撑

• 私域知识库建设：构建一个包含企业特定信息和技术细节的知识库，作为大模型训练和推理的基础，增强智能体的精准度和适用性。

• 观测流数据整合：实时获取并分析来自不同监控源的数据流，确保对系统状态的全面了解和即时响应。

• LLMOps 技术支持：通过 LLMOps 技术，在事前、事中、事后各阶段实现高效故障管理，推动运维工作的智能化转型。

03.场景说明

小鲸观测助手，是基于嘉为蓝鲸 LLMOps 平台，结合嘉为蓝鲸全栈智能观测中心，自主研发的一款基于大模型的观测平台辅助分析工具。

1）脚本插件自动编写

大模型可解析自然语言指令自动生成适配 Prometheus 格式的监控脚本、Exporter 等插件，嘉为蓝鲸全栈智能观测中心无缝兼容 Prometheus 插件生态，通过小鲸观测助手，可在服务器性能、数据库 &中间件指标、API 调用等多种场景自动编写插件快速实现指标获取。

2）日志正则提取规则编写

大模型通过学习既有正则编写规则，自动生成精准的正则表达式模板。无论是多变的日志格式，还是多层嵌套结构的数据字段，小鲸观测助手都能快速识别规律，实现“输入日志样本→输出解析规则”的自动化闭环。

3）系统数据自动查询

传统运维工程师面对系统异常时，还在反复切换监控平台、日志平台和 SQL 查询工具进行查询和分析，而大模型技术正在重新定义数据交互方式，基于 Function Call 无缝连接系统数据，通过小鲸观测助手，实现自然语言聊天式快速获取系统数据，辅助异常分析。

4）日志划词智能解析

基于大模型技术的日志划词智能解析，通过小鲸观测助手的语义理解与动态优化能力，实现日志数据的秒级解释说明与深度分析，助力企业高效挖掘数据价值。

5）告警智能知识推荐

基于内置运维知识库，可以根据告警事件内容结合知识库找出相关联的知识，并给与解决方案的推荐。同时可批量导入知识库文件，基于用户历史经验提供更丰富的解决方案；告警产生后智能匹配知识库里的解决方案。

6）告警划词智能解析

运维人员通常通过经验或查找资料来处理告警事件，效率低下且耗时。可以通过小鲸观测助手将问题直接抛给大模型，基于知识库和经验，直接提供优化解决方案。

7）告警根因智能分析

大模型技术通过融合多维算法引擎与全域关联数据，重构告警根因定位范式。基于 Embed 向量化、logreduce 日志聚类、知识图谱拓扑推理等技术，大模型可快速解析海量告警间的潜在关联，结合时序预测与异常检测识别异常波动模式。同时，联动历史告警库、变更记录、处置经验等数据，构建跨系统因果分析。这种“算法穿透+数据穿透”双引擎，使系统能快速锁定根因，并推荐处置方案，实现根因分析从经验猜测迈向智能推演。

实现效果如下图：

8）告警处置智能引导

结合预测性对话流与大模型，小鲸观测助手能够实现对话智能引导，引导用户完成智能提单引导、智能故障处置引导等场景：根据故障排查的场景，预设引导性场景，智能机器人识别关键字以后进入引导场景，确保问题能够迅速被识别和解决。

实现效果如下图：

04.前景展望

通过上述可观测性与大模型结合的应用场景，已经充分展现了大模型在运维领域的巨大潜力。展望未来，大模型的作用将不再局限于作为观测的辅助工具，而是逐步迈向更高层次的智能化阶段。

在不久的将来，大模型有望实现自主分析和定位问题的能力，并能够直接参与甚至主导问题的解决过程。通过对观测数据的深度学习和实时分析，大模型还能够预测未来可能发生的潜在风险，提前发现隐患并采取预防措施，从而将问题消灭在萌芽状态。

这种进化标志着可观测性从传统的“发现问题”向“快速处理问题”再到“主动预防问题”的全面蜕变。大模型的引入不仅提升了系统运维的效率和可靠性，还将推动整个可观测领域进入一个全新的智能化时代——真正实现从事后响应到事前预防的质变，为企业构建更加稳定、高效、智能的 IT 环境奠定坚实基础。