Künstliche Intelligenz (KI), maschinelle Intelligenz, maschinelles Lernen und Deep Learning werden häufig synonym verwendet, aber jedes dieser Konzepte stellt einen Schritt in der Entwicklung der rechnerischen Intelligenz dar. KI ist das umfassendste Konzept und beschreibt Maschinen, die Aufgaben ausführen können, die mit menschlichem Denken verbunden sind. Maschinelles Lernen (ML) fällt unter dieses Konzept und ermöglicht es Systemen, sich auf Grundlage von Daten zu verbessern, anstatt explizit programmiert zu werden. Innerhalb von ML wendet Deep Learning geschichtete neuronale Netzwerke auf riesige Datensätze an, um Fortschritte wie Bilderkennung und selbstfahrende Autos zu ermöglichen.
In der Log-Analyse wurden diese Basistechnologien traditionell eingesetzt, um Anomalien zu erkennen, Muster zu identifizieren und wiederkehrende Prozesse zu automatisieren. Doch die Branche entwickelt sich weiter in Richtung agentischer KI – Systeme, die nicht nur aus Daten lernen, sondern eigenständig schlussfolgern, planen und im Sinne von IT-Teams handeln können. Während Deep Learning die Merkmalsextraktion automatisierte, bringt agentische KI eine neue Dimension von Autonomie und Zusammenarbeit ein. Sie erkennt nicht nur Signale im Datenrauschen, sondern interpretiert sie im Kontext und empfiehlt oder initiiert den nächsten Schritt.
Von AIOps zu agentenbasierten Abläufen
Über viele Jahre hat AIOps Künstliche Intelligenz auf IT-Operationen angewendet – mit Algorithmen zur Erkennung von Anomalien, zur Prognose von Ausfällen und zur Ressourcenoptimierung. Dies bedeutete einen großen Fortschritt, doch die Verantwortung für Interpretation und Umsetzung der Erkenntnisse lag weiterhin vollständig bei den Menschen. Lösungen wie Mobot mit dem Query-Agent haben bereits Fortschritte erzielt, indem sie natürliche Sprachabfragen über Maschinendaten ermöglichten – und so die Ursachenanalyse deutlich vereinfacht haben.
Sumo Logic Dojo AI geht noch einen Schritt weiter und integriert logisches Schlussfolgern direkt in den Analyseprozess. Anstatt lediglich auf Abfragen zu reagieren oder Visualisierungen zu erstellen, können die Agenten nun Hypothesen bilden, Untersuchungen planen und Maßnahmen vorschlagen. Für Security- und Reliability-Teams markiert dies den Übergang von „unterstützender Automatisierung“ hin zu echten, kollaborativen Agenten, die aktiv mit Analysten und Engineers zusammenarbeiten.
Die ersten beiden Agenten von Sumo Logic veranschaulichen diese Veränderung. Der Summary Agent wendet maschinelles Lernen an, um die Komplexität von SIEM-Insights in umsetzbare Geschichten zu verdichten, indem er einen Strom fragmentierter Alarme in eine kohärente Geschichte des Vorfalls verwandelt. Der Query Agent ermöglicht es Analysten und Technikern, ihre Ermittlungsabsicht in natürlicher Sprache zu beschreiben und automatisch die komplexe Abfragesyntax zu erstellen, die für die Suche in endlosen Mengen von Protokolldaten erforderlich ist. Zusammen zeigen diese Agenten, wie sich AIOps zu agentenbasierten Operationen entwickelt: weniger Zeit für das Ringen mit Daten, mehr Zeit für die Validierung und Ausführung von Entscheidungen.
Maschinelle Intelligenz für Log-Analysen
Traditionell konzentrierte sich Maschinenintelligenz in der Log-Analyse darauf, Erkenntnisse aus Zugriffs-, Nutzungs- und Leistungsdaten zu gewinnen. Security-Teams nutzten sie, um Anomalien zu identifizieren und Warnmeldungen auszulösen, während Infrastruktur-Teams damit Systemlasten und Performance besser verstehen konnten. Diese Anwendungen bleiben wichtig, doch im agentischen Kontext sind sie nur der nächste Entwicklungsschritt hin zu Systemen, die nicht nur erkennen, sondern auch erklären und eigenständig handeln können.
Anstatt einfach nur ungewöhnliche Anmeldeversuche zu markieren, kann ein agentenbasiertes System die Abfolge der Ereignisse zu einer klaren Geschichte zusammenfassen: Woher kam der Zugriff, warum ist er verdächtig, welches Risiko stellt er dar, und dann eine angemessene Reaktion empfehlen. Ähnlich verhält es sich, wenn die Leistung nachlässt: Das System kann Hypothesen über die Ursache aufstellen und genau die Abfragen erstellen, die zur Überprüfung dieser Hypothesen erforderlich sind. Auf diese Weise können die Summary Agents und Query Agents zu Erweiterungen der SOC-Analysten und SREs werden und ihnen helfen, schneller von umfangreichen Telemetriedaten zu einer Lösung zu gelangen.
Warum sind Maschinendaten wichtig?
Die Fähigkeit, Maschinendaten für Intelligenz und Geschwindigkeit zu nutzen, ist nicht mehr optional. In der Vergangenheit haben sich Teams auf Daten verlassen, um Fragen zu beantworten wie: Wie gut ist die Performance unserer Systeme? Gibt es Engpässe? Wer greift auf sie zu? Gibt es Anomalien? Aber diese Fragen legten die Interpretation dieser Informationen vollständig in menschliche Hand.
Mit agentischer KI werden Maschinendaten zur Grundlage für autonomes Schlussfolgern. Ein SOC-Analyst muss nicht mehr Dutzende Warnmeldungen manuell korrelieren oder Threat Intelligence eigenständig abgleichen – der Summary Agent liefert eine konsolidierte, verständliche Darstellung der Situation. Ein SRE muss keine komplexen Abfragen mehr unter Zeitdruck erstellen – der Query Agent übernimmt dies automatisiert. Maschinendaten bleiben zentral, doch ihr Wert vervielfacht sich, wenn sie mit Agenten kombiniert werden, die rohe Signale in handlungsrelevanten Kontext übersetzen.
Was ist maschinelles Lernen in einem Big-Data-Kontext?
Das maschinelle Lernen war einst der Gipfel der Automatisierung für die Log-Analyse: Algorithmen, die große Mengen unstrukturierter Daten analysieren, Muster aufdecken und Anomalien erkennen können. Es war ein leistungsstarkes Hilfsmittel, insbesondere in Umgebungen mit riesigen Datenströmen.
Im Zeitalter der Agenten ist maschinelles Lernen eine Komponente eines umfassenderen Systems. Es unterstützt die Erkennungs- und Zusammenfassungsfunktionen der Agenten, ist aber auch in Arbeitsabläufe eingebettet, die über die Klassifizierung oder die Erkennung von Anomalien hinausgehen. Der Summary Agent nutzt ML, um Hunderte von Alarmen zu einer einzigen, aussagekräftigen Geschichte zusammenzufassen. Der Query Agent nutzt ML-basiertes Sprachverständnis, um menschliche Absichten auf die Abfragesyntax abzubilden. In beiden Fällen geht die Technologie über die Analyse hinaus, sie arbeitet mit den Anwendern zusammen und schließt die Lücke zwischen Erkenntnis und Handlung.
Praktische Anwendungen von Log-Analyse und agentenbasierter KI
Innerhalb eines Unternehmens werden verschiedene Teams weiterhin auf Maschinendaten angewiesen sein, aber ihre Beziehung zu diesen Daten ändert sich.
Für SOC-Analysten destillieren agentische Systeme Sicherheitssignale zu Berichten, die sofort untersucht werden können. Anstatt in Fehlalarmen zu ertrinken, haben sie Zeit, das Risiko einzuschätzen und zu reagieren. Für SREs vereinfachen agentenbasierte Systeme die Fehlersuche in verteilten Anwendungen, indem sie Abfragen generieren, die die Komplexität riesiger Log-Sets durchbrechen. Beide Gruppen profitieren von einer geringeren kognitiven Belastung, beschleunigten Untersuchungen und einer größeren Sicherheit bei der Entscheidungsfindung.
Mobot, das jetzt zu Dojo AI gehört und mit agentischem Verhalten ausgestattet ist, ist ein Beispiel für diesen Wandel. Mobot ermöglicht nicht mehr nur Abfragen in natürlicher Sprache, sondern unterstützt aktiv den Ermittlungsprozess, indem es Abfragen erstellt, Erkenntnisse miteinander in Beziehung setzt und die Ergebnisse zusammenfasst. In der Praxis bedeutet das weniger Engpässe, eine schnellere Lösung und eine größere operative Belastbarkeit.
Herausforderungen bei der agentischen Log-Analyse
Dem Versprechen der agentischen KI stehen neue Herausforderungen gegenüber. Maschinendaten wachsen weiterhin in exponentiellem Ausmaß, und Agenten müssen so konzipiert sein, dass sie mit strukturierten, unstrukturierten und halbstrukturierten Daten arbeiten können. Noch bedeutender ist, dass die Autonomie Fragen des Vertrauens und der Kontrolle aufwirft.
SOC-Analysten und SREs können kritische Entscheidungen nicht an Blackbox-Systeme delegieren. Transparenz ist unabdingbar und die Agenten müssen erklären können, wie sie zu ihren Schlussfolgerungen gekommen sind und warum sie bestimmte Maßnahmen empfehlen. Leitplanken wie rollenbasierte Zugriffskontrollen (RBAC) stellen sicher, dass die Agenten nur innerhalb der festgelegten Grenzen agieren, während menschliche Kontrollen dafür sorgen, dass die Verantwortung dort bleibt, wo sie hingehört. In regulierten Branchen ist die Einhaltung von Vorschriften nach wie vor von größter Bedeutung; agentische Systeme müssen verantwortungsvoll mit sensiblen Daten umgehen und diese gegebenenfalls verschleiern oder anonymisieren.
Indem sie diese Herausforderungen direkt angehen, können Unternehmen agentische KI nutzen und gleichzeitig die Kontrolle, die Einhaltung von Vorschriften und das Vertrauen in sie bewahren.
Die Zukunft der agentischen Intelligenz: prädiktiv und generativ
Die generative KI ermöglichte es, neue Erkenntnisse, Prognosen und Simulationen zu erstellen. Die prädiktive Analytik hat dies erweitert und hilft den Teams, Systemanforderungen und aufkommende Bedrohungen vorherzusehen. Der nächste Schritt ist die agentische KI, bei der diese Vorhersagen nicht als statische Erkenntnisse bleiben, sondern in kontextbezogene Pläne und gegebenenfalls in Aktionen umgewandelt werden.
Für die Sicherheit bedeutet dies, dass Agenten nicht nur einen Zero-Day-Exploit erkennen, sondern auch die wahrscheinlichen Angriffspfade simulieren, die dringendsten Schwachstellen priorisieren und maßgeschneiderte Abwehrmaßnahmen empfehlen können. In der Reliability-Engineering-Praxis bedeutet dies, dass sie Kapazitätsengpässe vorhersehen und validierte Abhilfestrategien entwickeln können, bevor die Kunden die Auswirkungen zu spüren bekommen. Dies sind keine spekulativen Anwendungsfälle mehr, sondern die Entwicklung ist bereits im Gange.
Agentische Systeme wie die Summary- und Query-Agenten von Sumo zeigen, wie sich die Ermittlungen verändern: Sie komprimieren fragmentierte Meldungen zu kohärenten Geschichten und verwandeln natürliche Sprache in präzise, ausführbare Abfragen. Das Ergebnis ist eine schnellere Bedrohungseinstufung für SOC-Analysten, eine optimierte Ursachenanalyse für SREs und eine Verlagerung von der reaktiven Reaktion zur proaktiven Ausfallsicherheit.
Die Konvergenz von Predictive Analytics, generativer KI und agentenbasierter Autonomie markiert einen Wendepunkt im modernen Betrieb. Anstatt im Lärm zu versinken oder auf den nächsten Alarmsturm zu warten, werden Teams mit intelligenten Agenten zusammenarbeiten, die innerhalb genau definierter Leitplanken denken, empfehlen und handeln. Sowohl für Sicherheits- als auch für Zuverlässigkeitsteams bedeutet dies eine Zukunft, in der menschliches Fachwissen durch KI verstärkt wird, die nicht nur beobachtet, sondern auch mitarbeitet.
