全流量分析如何与大模型结合？一个 AI 智能运维平台的产品化观察

大模型进入运维场景后，很多产品开始提供自然语言问答、告警解释和报告生成能力。

这类能力本身并不新鲜。真正值得讨论的问题是：大模型到底基于什么数据进行分析？

如果 AI 只能看到主机指标、日志摘要和告警文本，它能做的更多是解释现象、总结信息、辅助编写报告。但在复杂的网络与应用性能问题中，运维人员真正需要的并不只是“解释告警”，而是判断：

问题是否真实发生？发生在哪个时间段？影响了哪些业务对象？是网络传输问题，还是服务端处理问题？是个别客户端异常，还是整体业务链路异常？有没有会话、接口、报文层面的证据可以支撑判断？

这些问题仅靠传统指标和日志并不容易回答。因此，一个值得关注的技术方向是：将大模型能力与全流量分析能力结合，让 AI 不只理解告警文本，而是能够围绕真实业务访问过程进行分析。

近期看到网深科技观枢 GAIOP 的一些产品化探索截图，算是个不错的观察窗口：它尝试将 NetInside NAPM 全流量分析能力，与自然语言查询、大模型推理、报告生成等能力结合起来。这里不做产品宣传，而是从技术角度讨论：全流量分析与大模型结合，可能会带来哪些运维分析方式的变化。

01｜为什么单纯“AI 监控”不够？

在很多企业里，监控系统并不少。

主机监控、网络监控、日志平台、APM、数据库监控、安全告警、工单系统、可视化大屏，往往都已经存在。

但故障定位仍然很难。

原因在于，不同系统看到的是不同切面。

主机监控看到 CPU、内存、磁盘、进程状态；网络监控看到设备、接口、链路和带宽；日志平台看到应用打印的运行记录；APM 看到部分应用调用链和接口耗时；告警系统看到阈值触发或规则匹配结果。

这些数据都有价值，但它们经常是分散的、抽象的、结果型的。

例如，用户反馈“系统变慢”，监控可能能看到响应时间升高，但不一定能回答：到底是 TCP 传输异常、服务端响应慢、接口处理慢，还是某个客户端访问异常？

在这种场景下，如果只是把大模型接到监控系统上，让它解释一条告警，价值是有限的。

大模型可以帮助总结信息，但如果底层数据无法还原访问过程，它也很难给出可信的故障判断。

02｜全流量分析提供的是“过程型证据”

全流量分析关注的是网络中真实发生过的通信过程。

它不是只看资源是否正常，也不是只看日志是否报错，而是从流量角度观察：

谁访问了谁？什么时候访问？使用了什么协议？请求是否成功？响应耗时是多少？TCP 是否存在重传？连接是否失败？接口返回是否异常？页面加载慢在哪个阶段？业务访问过程中哪一段出现异常？

这些信息对网络与应用性能诊断非常关键。

例如一次业务慢的问题，从全流量角度可以进一步分析：

客户端是否正常发起请求；服务端是否及时响应；网络传输过程中是否有重传；是否存在连接失败或连接建立延迟；慢请求集中在哪些接口；异常是否只影响部分用户、网段或业务对象；问题是持续发生，还是集中在某个时间窗口。

这类数据更接近“访问过程证据”。

如果把大模型放在这样的数据底座之上，它就不只是对告警文本做语言解释，而是可以围绕真实访问过程进行推理和归纳。

这也是“全流量 + 大模型”与普通“AI 监控问答”的关键差异。

03｜一个产品化样例：自然语言查询 NAPM 数据

在观枢 GAIOP 的产品化探索中，一个比较直观的能力是：通过自然语言查询 NAPM 数据。

用户不需要先进入复杂菜单，也不需要明确知道每个查询入口的位置，而是可以直接向 AI 提出问题。

例如：

“你现在都可以做哪些工作？”“详细介绍一下 NAPM 查询能力。”“帮我看一下某个业务的访问情况。”“查询某个 IP 最近的异常。”“分析某个时间段的连接失败情况。”

从测试截图可以看到，AI 会先返回能力清单，再进一步说明可查询对象、指标和分析维度。

【图1｜自然语言交互返回运维能力清单示例】

【图2｜AI 运维助手能力边界说明示例】

这类能力的意义不在于“聊天”，而在于降低复杂系统的使用门槛。

很多 NAPM、APM、流量分析或可观测性系统，本身功能很强，但学习成本也高。用户需要知道：

去哪里查业务组；去哪里查 Web 应用；去哪里查会话；去哪里看接口；去哪里看响应时间；去哪里分析重传；去哪里生成报告。

自然语言查询的价值，是把这些复杂操作封装在统一入口后面。

过去是人学习工具。未来可能是 AI 理解人的问题，再去调用工具。

04｜关键不只是“问答”，而是对象识别和工具调用

要让 AI 真正参与运维分析，仅仅能回答自然语言问题是不够的。

它还需要理解底层系统中的分析对象。

从 GAIOP 的截图示例来看，其 NAPM 查询能力并不是简单的 FAQ，而是开始围绕具体对象建模，例如：

业务组、Web 应用、应用、IP 地址、会话、页面族、接口、子网。

这些对象在网络与应用性能分析中非常重要。

不同对象对应不同的指标、查询方式和分析路径。例如：

查询业务组时，可能关注整体响应时间、访问量、错误率和业务趋势；查询 Web 应用时，可能关注页面访问、接口性能和用户体验；查询 IP 地址时，可能关注通信对象、协议分布、连接失败和流量变化；查询会话时，可能关注双向通信过程、响应时间、重传和连接状态；查询接口时，可能关注接口耗时、调用量、失败率和异常返回。

【图3｜NAPM 查询能力说明示例】

【图4｜全流量分析对象与查询能力映射示例】

【图5｜自然语言查询 NAPM 数据结果示例】

这说明 AI 运维系统要真正可用，需要的不只是大模型本身，还需要一个面向运维对象的语义层。

这个语义层至少要解决几个问题：

用户问题对应哪个运维对象；对象应该使用哪些指标分析；指标之间如何组合判断；什么时候需要继续下钻；结果如何转化为可读结论。

没有这一层，大模型很容易停留在“泛泛回答”。有了这一层，AI 才有可能从“问答入口”变成“分析编排层”。

05｜从查询到分析：AI 需要具备分析路径

真实运维问题往往不是一次查询可以解决的。

例如用户说：

“这个业务今天很慢，帮我看一下。”

这句话背后可能需要系统自动判断：

先看业务响应时间趋势；再定位异常时间段；查看慢接口 TopN；分析服务端响应耗时；检查 TCP 重传情况；判断连接失败是否升高；对比历史同期数据；必要时关联告警、变更和 CMDB 信息。

因此，大模型在运维场景中更适合承担“分析编排”的角色。

它不一定直接产生所有结论，而是根据问题类型规划查询步骤，调用底层分析工具，再对结果进行归纳。

在全流量分析场景中，常见的分析方式包括：

TopN 分析：找出流量最高、响应最慢、失败最多的对象；趋势分析：判断异常是偶发、持续还是周期性出现；对比分析：比较不同业务、不同时间段、不同对象之间的性能差异；多协议分析：观察某个主机或应用的通信行为；下钻分析：从业务、应用、接口、会话逐层定位问题。

如果 AI 能够理解这些分析路径，并能调用底层 NAPM 能力执行查询，那么它的价值就不只是“回答问题”，而是开始接近真实排障过程。

06｜AI 根因分析不能靠“猜”，必须依赖证据链

很多 AIOps 产品都会提到根因分析。

但在生产环境中，根因分析不能只是大模型根据经验给出一个“可能原因”。

真正可信的根因分析，必须建立在证据链上。

例如一次业务访问慢，合理的分析过程应该包括：

确认慢是否真实存在；定位慢发生的时间段；判断影响范围；区分客户端侧、网络侧、服务端侧问题；进一步查看 TCP 传输、应用接口、数据库或外部接口；基于证据输出根因候选，而不是直接给出唯一结论。

全流量数据在这里的价值非常明显。

它可以提供会话级、接口级、协议级、网络传输级的过程证据，例如：

响应时间变化；连接失败情况；TCP 重传情况；客户端和服务端通信关系；接口耗时排名；协议分布变化；异常会话明细；业务访问趋势。

大模型可以基于这些证据进行归纳、推理和解释，但不能脱离数据本身。

否则，所谓 AI 根因分析就容易变成“语言上合理，证据上不足”。

因此，“全流量 + 大模型”的正确方向，应该是让 AI 围绕真实流量证据进行分析，而不是让大模型凭空判断故障原因。

07｜报告生成可能是最先落地的 AI 运维场景

相比自动处置，报告生成是更容易落地的 AI 运维能力。

原因很简单：价值明确、风险较低、人工审核成本可控。

在企业运维中，很多场景都需要报告：

日常巡检报告；故障分析报告；业务性能周报；月度运维报告；专项优化报告；管理层汇总报告。

这些报告通常包含大量重复性工作，例如整理数据、截图、描述异常、归纳趋势、输出结论和建议。

从 GAIOP 的企业微信联调测试场景来看，用户可以直接基于对话上下文发起报告生成指令，系统自动生成 Word 文档。

【图6｜基于对话上下文生成运维报告示例】

这类能力在实际场景中很实用。

它不要求 AI 直接操作生产环境，也不涉及高风险自动处置。AI 先生成报告初稿，再由工程师审核和修订，是一个比较现实的落地路径。

从行业角度看，报告生成很可能是 AI 运维最早规模化应用的场景之一。

08｜AI Agent 可以参与闭环，但必须有边界

如果 AI 进一步接入自动化执行，就会涉及 AI Agent。

在运维场景中，AI Agent 的目标不是只回答问题，而是能够调用工具、执行任务、推进流程。

例如：

接收告警；查询流量分析结果；判断异常类型；生成根因候选；调用脚本或外部系统；生成报告；形成复盘记录。

从趋势上看，AI Agent 参与运维闭环是一个明确方向。

但在企业生产环境中，自动化执行必须有边界。

至少需要考虑：

权限控制：AI 能调用哪些工具、操作哪些对象；审批机制：高风险操作是否需要人工确认；审计记录：所有调用和执行过程是否可追溯；回滚机制：执行失败后如何恢复；数据安全：流量、日志、业务信息是否需要脱敏和隔离。

所以，AI 运维闭环并不是让 AI 直接接管生产环境，而是在可控范围内，让 AI 执行标准化、低风险、可审计的运维动作。

09｜全流量 + 大模型的技术架构思路

从产品实现角度看，一个“全流量 + 大模型”的 AI 运维平台，大致需要包含以下几层。

第一，数据采集层。通过旁路镜像、探针或其他方式获取真实业务流量，同时接入告警、CMDB、知识库、历史案例等数据。

第二，流量分析层。将原始流量转化为可分析对象，包括业务、应用、接口、页面、IP、会话、协议、响应时间、重传、连接失败等。

第三，语义建模层。建立运维对象与指标之间的关系，让 AI 能理解“业务组”“接口”“会话”“子网”等对象代表什么，应该如何分析。

第四，工具调用层。提供查询指标、获取 TopN、拉取趋势、筛选异常会话、生成报告等工具接口。

第五，推理编排层。由大模型根据用户问题规划分析步骤，调用相关工具，并对结果进行归纳。

第六，输出层。输出自然语言结论、证据摘要、故障分析报告、处置建议或自动化任务。

在这个架构中，大模型不是替代 NAPM、APM 或监控系统，而是作为智能编排和分析归纳层存在。

底层分析系统负责提供准确数据，大模型负责理解问题、组织分析、输出结论。

10｜这种产品化探索的行业意义

从观枢 GAIOP 的样例可以看到一个趋势：AI 运维正在从“监控问答”向“运维分析编排”演进。

早期 AI 运维更多关注：

解释告警；总结日志；生成报告；回答常见问题。

而下一阶段更值得关注的是：

AI 是否能理解运维对象；是否能调用分析工具；是否能基于证据链输出判断；是否能围绕业务访问过程进行下钻；是否能辅助形成处置闭环。

全流量分析正好为这个方向提供了一个重要底座。

因为它保留的是业务访问过程，而不是单一结果指标。

当 AI 能够读取和调用这些过程数据时，网络与应用性能诊断才有机会从“人工查工具”逐步走向“AI 编排分析”。

结语

大模型正在改变运维系统的交互方式，但真正有价值的 AI 运维，不应该只是多一个聊天框。

对于网络与应用性能分析来说，关键问题是：AI 能不能读懂真实现场。

全流量数据提供的，正是这个现场。

它记录了业务访问过程、网络通信过程、应用交互过程和异常发生过程。将全流量分析能力与大模型推理结合，有可能让 AI 从“回答问题”进一步走向“分析问题”。

从这个角度看，观枢 GAIOP 这类产品化探索的意义，不只在于某一个具体功能，而在于它反映了 AI 运维的一个重要方向：

AI 不应只解释监控结果，而应能够理解访问过程、调用分析工具、形成证据链，并在可控范围内辅助运维闭环。

未来的运维平台，可能不再只是指标面板、告警列表和报表工具，而会逐步演变为一个能够理解问题、组织分析、生成结论并辅助执行的智能分析系统。