毎日、Sumo Logic Platform は 4 エクサバイトを超えるログデータを分析しています。良いニュースがあります。アプリケーションのパフォーマンス、インフラストラクチャの状態、セキュリティインシデントに関する答えは、これらのログの中に隠されています。課題は?これまでは、これらの答えを見つけるにはクエリ言語に精通している必要がありました。
そこで私たちは、自然言語を使ってユーザーを高度な AI 機能に接続する対話型インターフェースである Mobot を開発しました。
Mobot の最初のバージョンを導入したとき、ユーザーがデータとやり取りする方法は大きく変わりました。自然言語を正確なクエリに変換することで技術的な障壁を取り払い、AI が検索ワークフローを大幅に加速できることを証明しました。これは大きな前進でしたが、まだ始まりに過ぎませんでした。
チームが Mobot を日常的に使い始めると、単にデータを検索するだけでなく、データについて考えることを支援する AI から、さらに大きなメリットを得られることが分かりました。そこで私たちは、Mobot を検索アシスタントから共同ログ分析パートナーへと進化させることを目指しました。
本日、Sumo Logic のお客様向けに、新しい高度な Mobot のプレビュー版が利用可能になったことをお知らせできることを大変うれしく思います。
新しい Mobot の体験は、どこがこれまでより優れているのでしょうか。
新しい Mobot は、クエリ優先のワークフローを超え、分析を前に進める協調的な思考パートナーへと進化しました。
Mobot が進化した 4 つの重要なポイントは次のとおりです。
- ユーザーの意図を理解: 広範または不完全なプロンプトを手動で再構成する必要はもうありません。Mobot は、たとえ曖昧な場合でもユーザーの高レベルな意図を解釈し、行き止まりにせずに、必要に応じて内容を明確化したり方向転換したりします。
- 複数ステップの分析を推進: 以前の Mobot は単一のクエリの作成に限られていましたが、新しいバージョンは複雑な質問を構造化された分析ステップに変換します。トラブルシューティングや詳細なデータ探索のための複数ステップのワークフローを処理し、調査の方向転換を手動で行う必要がありません。
- 適切なデータを収集: エージェント、時間範囲、データソースを手動で選択する必要はもうありません。Mobot は、適切なデータをインテリジェントに選択し、時間範囲を推定し、ドメインコンテキストを適用できるようになりました。さらに、過去のクエリやダッシュボードも活用し、データ探索を高速化します。
- データ全体にわたる推論: Mobot は、高度な多段階推論を適用して、異なるデータソースにまたがる調査結果を統合し、重要なシグナルを関連付け、推奨される次のステップとともに構造化された結果を提供します。
各チームが新しい Mobot をどのように活用しているか
毎日、ユーザーは Mobot がログ分析における負荷の高い作業の一部を担う新たな方法を見つけています。Mobot は高度な推論能力を備えているため、単純で個別の質問を一つずつ細かく与える必要はありません。複雑で複数ターンにわたる質問も一度にまとめて行うことができ、あるいは Mobot と一緒に問題に取り組みながら、自然な会話の中で質問を分けて行うこともできます。
以下に、チームが Mobot を使って平均解決時間を大幅に短縮している事例をいくつかご紹介します。
例 1:エラー率トリアージ
コンテキスト: すべてのサービスにわたる迅速なトリアージビューを取得することは、何かがおかしいと感じたりアラートが発報されたりしたときに、オンコールエンジニアが最初に行うステップです。Mobot がない場合、エンジニアは各サービスごとにダッシュボードを個別に開き、サービスごとに専用のクエリを作成し、データを頭の中で集計する必要があります。これには、事前にどのサービスを調査すべきかを正確に把握しておく必要があり、サービス全体のランキングビューを得るだけでも最大 30 分かかる場合があります。
開始プロンプト:「過去1時間で最もエラー率が高かったサービスを表示してください。」
Mobot の対処方法: このプロンプトだけで、Mobot は適切なデータソースを推論し、「service」と「_loglevel」フィールドを特定して、クエリを構築・実行しました。これにより、すべてのサービスにおけるエラー件数、総リクエスト数、エラー率をランキングした表がすぐに返されました。エンジニアが確認すべきだと知らなかった問題のある依存関係(例えば、エラー率 98% で動作しているバックグラウンドの「cert-manager」など)も明らかになりました。
結果:Mobot はダッシュボードの「盲点」を解消し、属人的な知識への依存を減らします。どこを探せばよいかを正確に知る必要がなくなり、エンジニアは、そうでなければ見過ごしてしまう可能性のあるサービス内の隠れたエラーを明らかにできるようになります。
例2:根本原因分析
コンテキスト: 「何かが壊れている」から「原因と発生場所がここにある」に移行することは、あらゆるインシデントにおいて最も難しく、最も時間のかかる部分です。これを手動で行うには、事前にシステム依存関係グラフを把握し、複数のサービス間でタイムスタンプを手動で関連付け、並行して時系列クエリを構築する必要があります。システムに関する深い知識を持つベテランエンジニアでも原因究明に数時間かかる場合がある一方で、若手エンジニアは原因特定に苦労し、しばしば緊迫したウォールーム対応が必要となることもあります。
開始プロンプト: 「ダウンストリームサービスが劣化する直前にエラーが急増したアップストリームサービスを表示してください。」
Mobot の対処方法: Mobot は、依存関係チェーン全体にわたって、5 分粒度のエラー率とレイテンシのタイムラインを自動的に構築しました。正確な因果関係の順序が再構築されました。「currencyservice」が6時間以上にわたって障害を起こし、「paymentservice」が7時10分に MySQL 障害に直面し、「checkoutservice」のレイテンシが数分以内に急増し、「frontendservice」がその下流で劣化した、という流れです。
結果: Mobot は、上級エンジニアと 2 時間のウォールーム対応の作業を自動化し、タイムスタンプ付きの伝播チェーンを瞬時に生成します。通常であれば、完全なインシデント事後分析レポートを書き上げた後でしか得られないような内容を、たった 1 つのプロンプトだけで得ることができます。
Mobot for Cloud SIEM Insights
Cloud SIEM 内で SOC Analyst Agent(現在プレビュー版)を有効化すると、Mobot を活用して調査ワークフローも効率化できます。SOC Analyst Agent は、Insights を自律的に調査し、重大度の判断を行い、裏付けとなる証拠を収集することで、アナリストが予備調査から開始できるようにします。人間のアナリストが、Insight についてより詳細な調査が必要だと判断した場合でも、Mobot を使ってシームレスに主導権を引き継ぎ、自身で高度な分析を実行できます。
SOC Analyst Agent と Mobot がどのように連携するかについて詳しくはこちらをご覧ください.
ぜひご自身でお試しください
Mobot がログ分析の摩擦をどのように解消できるか、ご覧になりたいですか?新しい Mobot エクスペリエンスは現在、一部のお客様を対象とした早期プレビュー版として提供されており、まもなく一般提供開始となる予定です。プレビューへの参加をご希望のお客様は、Sumo Logic のアカウントチームに直接お問い合わせのうえ、アクセス権をリクエストしてください。
Sumo Logic を初めてご利用になる方で、Dojo AI と Mobot がどのように業務を根本から変革できるかにご興味をお持ちの場合は、当社チームとのデモをご予約ください.
