AI Ops Assistant
AI-ассистент для диагностики инфраструктуры: incident analysis, auto-remediation, runbooks, correlation engine
🔧 Team и выше
Обзор
AI Ops Assistant — это RAG-based (Retrieval-Augmented Generation) AI-ассистент, который отвечает на вопросы о вашей инфраструктуре на основе реальных данных. Он не генерирует ответы "из головы" — сначала ищет релевантные данные из 6 источников, затем формулирует ответ с цитатами. Поддерживает русский и английский языки. Расширенные функции: auto-remediation с runbooks, correlation engine для анализа инцидентов и интеграция с alerting.
RAG
Ответы на основе реальных данных
Team+
Auto-remediation
Автоматическое исправление по runbooks
Enterprise
Correlation Engine
Связывание событий в инциденты
Team+
Runbooks
Определяемые действия для известных проблем
Team+
Архитектура AI Ops
AI Ops построен на RAG pipeline: запрос пользователя → embedding → vector search по 6 источникам → сбор контекста → генерация ответа через LLM. Все вычисления выполняются внутри вашего FlowLink deployment — данные не покидают сервер.
# AI Ops Pipeline
1. Query
Пользователь задаёт вопрос (RU/EN)
2. Embedding
Текст конвертируется в векторное представление
3. Vector Search
Поиск по 6 источникам (Audit Log, Metrics, Forensics, ...)
4. Context Assembly
Сбор релевантных фрагментов с приоритизацией
5. LLM Generation
Генерация ответа с цитатами из источников
6. Response
Ответ + confidence score + sources
Источники данных
Все события: команды, блокировки, аутентификация, конфигурация. Основной источник для security-вопросов.
CPU, memory, disk, network, uptime, heartbeat. Источник для performance-вопросов.
Инциденты, blast radius, аномалии. Источник для incident response.
Docker, systemd, порты, процессы. Источник для inventory-вопросов.
Audit trail, policy compliance, data protection. Источник для compliance-вопросов.
Срабатывания политик, risk scores, предложения. Источник для policy-вопросов.
API Reference
Задать вопрос (REST)
1curl -G "https://api.flowlink.io/v1/ops/ask" \2 --data-urlencode "q=which agents have high error rates?" \3 -H "Authorization: Bearer $TOKEN" | jq
1{2 "query": "which agents have high error rates?",3 "answer": "Based on the last 24 hours, 2 agents have elevated error rates:\n\n1. **agent-prod-03** — 15 blocked commands, 3 high-risk events, risk score 72\n2. **agent-staging-01** — 8 blocked commands, risk score 55\n\nRecommendation: Review policy rules for agent-prod-03 and check error logs.",4 "sources": [5 { "type": "audit_log", "rows_retrieved": 45 },6 { "type": "agent_metrics", "rows_retrieved": 12 }7 ],8 "confidence": 0.92,9 "language": "en",10 "processing_time_ms": 1200,11 "timestamp": "2026-01-15T14:32:01Z"12}
Задать вопрос (MCP)
1{2 "tool": "ops_ask",3 "arguments": {4 "query": "what changed on agent web-01 in the last hour?"5 }6}
Incident Analysis
1curl -X POST "https://api.flowlink.io/v1/ops/analyze" \2 -H "Authorization: Bearer $TOKEN" \3 -H "Content-Type: application/json" \4 -d '{5 "type": "incident",6 "agent_id": "agent-prod-03",7 "time_range": { "hours": 6 }8 }'
1{2 "analysis_id": "ana_abc123",3 "agent_id": "agent-prod-03",4 "time_range": { "from": "2026-01-15T08:30:00Z", "to": "2026-01-15T14:30:00Z" },5 "summary": "Agent prod-03 experienced 3 high-risk events in the last 6 hours. Root cause appears to be a misconfigured deployment script that attempts sudo operations.",6 "timeline": [7 { "time": "2026-01-15T09:00:00Z", "event": "sudo apt-get upgrade", "risk": 35 },8 { "time": "2026-01-15T11:00:00Z", "event": "chmod 777 /var/log", "risk": 72 },9 { "time": "2026-01-15T13:00:00Z", "event": "rm -rf /tmp/deploy", "risk": 45 }10 ],11 "correlated_events": [12 { "source": "policy_engine", "event": "3 policy violations" },13 { "source": "risk_scores", "event": "risk score increased from 22 to 55" }14 ],15 "recommended_actions": [16 "Review deployment script permissions",17 "Add policy: deny chmod 777 * for env:production",18 "Require approval for sudo operations"19 ],20 "confidence": 0.8821}
Correlation Engine
Correlation Engine автоматически связывает разрозненные события в единые инциденты. Он анализирует temporal proximity, shared agents и общие паттерны для группировки событий.
1{2 "correlation_rules": [3 {4 "name": "escalation_chain",5 "description": "Group events showing privilege escalation pattern",6 "match": {7 "event_types": ["command_executed", "policy_violation"],8 "time_window_seconds": 3600,9 "same_agent": true,10 "min_events": 311 },12 "severity": "high"13 },14 {15 "name": "resource_exhaustion",16 "description": "Group metrics showing resource pressure",17 "match": {18 "event_types": ["health_degraded", "command_timeout"],19 "time_window_seconds": 1800,20 "same_agent": true,21 "min_events": 222 },23 "severity": "medium"24 }25 ]26}
Auto-remediation & Runbooks
Runbooks — это предопределённые планы действий для известных проблем. Auto-remediation может автоматически выполнять runbooks при определённых условиях. Все runbook-действия логируются в audit trail и требуют явного включения.
1# Пример runbook2runbooks:3 - name: "restart_nginx_high_error_rate"4 description: "Restart nginx when error rate exceeds threshold"5 trigger:6 metric: "error_rate"7 agent_tag: "role:web"8 threshold: 10.09 window_seconds: 30010 actions:11 - type: "command"12 command: "sudo systemctl restart nginx"13 timeout_seconds: 3014 - type: "notify"15 channel: "telegram"16 message: "Auto-restarted nginx on {{agent_id}} (error_rate: {{value}})"17 post_check:18 metric: "error_rate"19 threshold: 1.020 timeout_seconds: 6021 requires_approval: false22 enabled: true2324 - name: "cleanup_disk"25 description: "Clean up temporary files when disk usage is critical"26 trigger:27 metric: "disk_percent"28 threshold: 95.029 actions:30 - type: "command"31 command: "sudo docker system prune -f"32 timeout_seconds: 6033 - type: "command"34 command: "sudo journalctl --vacuum-time=3d"35 timeout_seconds: 3036 requires_approval: true37 enabled: true
Runbook API
1# Список runbooks2curl -s "https://api.flowlink.io/v1/ops/runbooks" \3 -H "Authorization: Bearer $TOKEN" | jq45# Ручной запуск runbook6curl -X POST "https://api.flowlink.io/v1/ops/runbooks/restart_nginx_high_error_rate/execute" \7 -H "Authorization: Bearer $TOKEN" \8 -H "Content-Type: application/json" \9 -d '{"agent_id": "agent-web-01", "reason": "manual trigger"}'
1{2 "execution_id": "exec_abc123",3 "runbook_name": "restart_nginx_high_error_rate",4 "agent_id": "agent-web-01",5 "status": "completed",6 "actions_performed": [7 { "action": "command", "command": "sudo systemctl restart nginx", "exit_code": 0, "duration_ms": 1200 },8 { "action": "notify", "channel": "telegram", "status": "sent" }9 ],10 "post_check": { "metric": "error_rate", "value": 0.2, "passed": true },11 "executed_at": "2026-01-15T14:30:00Z"12}
Примеры запросов
Приватность и безопасность
AI Ops не отправляет ваши данные на внешние серверы. Все данные обрабатываются внутри вашего FlowLink deployment. RAG pipeline использует локальные embeddings. LLM inference выполняется на вашем сервере (self-hosted) или в изолированном контейнере (cloud). Команды и секреты никогда не включаются в контекст ответа.
Ограничения
Устранение неполадок
AI Ops возвращает низкий confidence
Убедитесь что в системе достаточно данных (минимум 7 дней). Сузьте вопрос — конкретные запросы дают лучший результат. Проверьте что источники данных не пустые.
Runbook не срабатывает автоматически
Проверьте что enabled: true и requires_approval: false (или approved). Убедитесь что trigger condition совпадает с текущими метриками. Проверьте логи AI Ops.
Лучшие практики
Начните с read-only запросов
Используйте AI Ops для анализа перед включением auto-remediation. Это позволяет оценить качество ответов и настроить runbooks.
Создайте runbooks для частых проблем
Проанализируйте incident history за последний месяц и создайте runbooks для топ-5 повторяющихся проблем.
Проверяйте confidence score
Ответы с confidence < 0.7 могут быть неточными. Всегда верифицируйте критические решения вручную.
Настройте correlation rules
Стандартные правила подходят для большинства случаев. Настройте под вашу инфраструктуру для лучшей группировки событий.