打造自适应 AI 运维智慧体： 大语言模型在软件日志运维的实践 刘逸伦 华为 2012 实验室 本科毕业于南开大学 ，硕士毕业于美国佐治亚理工学院。研究方向包括 AI 智能运维 ，大模型质量评估以及大模型提示策略 ，在相关领域以第一作者、 通讯作者身份在 ICDE 、 ICSE 、 IWQoS 等顶级国际会议 / 期刊发表 10 余篇 论文。 刘逸伦 华为 2012 文本机器翻译实验室工程 演讲嘉 宾 1. 软件日志运维观点 2. 自适应智慧体在运维领域面临的 Gap 3. 大模型 Prompt 引擎助力自适应运维智慧 体 4. 大模型知识迁移打造运维专精模型 5. 未来畅想 目录 CONTENTS PART 01 软件日志运维观点： 智能运维演进趋势是从任务数据驱动到自适应运维智慧体 (1) 日志是机器语言：大规模网络、软件系统在运行过程中每天会产生 PB 级别的日志，这些日志是一些类自然语言的文本，实时描述了设备 的运行状态、异常情况。 (2) 传统网络运维是机器语言的人工翻译过程：为了维护网络的稳定，运维人员会持续监控设备的运行状态，希望准确、及时地检测异常和 突发事件。网络日志是设备运行维护最重要的数据源，运维人员通常会通过解读日志中的自然语言、语义信息来发现问题、分析根因。 (3) 自动日志分析是机器语言的自动翻译过程：

......4 1.2 查看服务器是否存在隐藏账号、克隆账号.................................................... 4 1.3 查看 window 日志，检查登入时间，是否存在暴力破解等行为.......................5 2、 检查异常端口、进程.......................................... ................................16 三、日志分析..........................................................................................................17 1、window 日志分析.................................... ................................. 17 1.1 安全日志分析 .............................................................................................17 2、Linux 日志分析 .........................................

统安 全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................444 日志分析产品 北京安信天行科技有限公司................................................................................. 通过网络基于不同协议连接到服务器的专用存储设备。 17 公钥基础设施 支持公钥管理体制 , 提供鉴别、加密、完整性和不可否认服务的基础 设施。 18 网络安全态势感知产品 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息 等数据 , 分析和处理网络行为及用户行为等因素 , 掌握网络安全状态 , 预 测网络安全趋势 , 并进行展示和监测预警的产品。 19 信息系统安全管理平台 对信息系

分析计算 /… … 数 据库 防 护 安全 流 量探 针 FW/IPS/IDS 运维管理安全能力 通常会部署了防火墙、态势感知、安全漏洞扫描 / 基线核查、运 维堡垒机、日志审计管理、上网行为审计等安全能力 安全建设基础相对完备， 能力的聚合和运营将成为关键 AV/ EPP/EDR 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ 全运营 基于溯源图的终端 行为分析 SecurityGPT 公开 发布 Dex abeam 异常日志识别和分析 AI 小模型 取得明显成 效 全面拥抱 大模型 QRadar Watson ，基 于 AI 的日志分析和处 置 建议 NoDR 云原生行为基 线生成和检测 SAVE 3.0 多内核 AI 文件检测引擎 基于机器学习的加 密流量检测 辅助驾驶 零信任平台 数据安全平台 检测类大模型 运营类大模型 其他类大模型 …… 检测大模型 模型 安全 GPT 检测大模型 数据 流量日志 代码 溯源报告 恶意样本 安全知识 情报 公开漏洞 IOA 日志 代码理解能力 <%@page import=” <%@page import=”java ... 安全常识理解能力 Shell 俗称壳（用来区别于核），

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 系统 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 出口网络 / 安全设备 于安全服务平台 核心交换 安全运营服务 安全运营服务 安全运营服务 下一代防火墙 上网行为管理 数据库审计 下一代防火墙 日志审计系统 杀毒软件 下一代防火墙 上网行为管理 广域网优化 负载均衡 日志审计系统 杀毒软件 数据库审计 负载均衡 堡垒机 SSL VPN 流量编排 等保二级 合规模板 出口边界 安全模板 等保三级 合规模板 杀软

电力供应 明御安 全网关 明御 DPI 明御 APT 邮件 安全 明御 NTA 明御 WAF 数据库 审计 日志 审计 EDR 数据库 防火墙 网络结 构优化 安全策 略调整 通信传 输加密 安全管理中心 堡垒机 日志审计 漏洞扫描 EDR 管控 等级保护三级典型拓扑 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW NGFW 物联网安全心 视频准入引擎 安防设施区 前端 IPC 物联网监测 运维审计 APT DPI 远程评估 日志审计 大数据 EDR 中心 运维管理区 抗 DDoS 负载均衡 上网行为管理 WAF VPN 分支外联 NGFW 路由器 安全通信网络 安全通信网络 安全通信网络 安 全 防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙 安全审计 集中日志审计、上网行为管理 可信验证 可信计算机制 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW 视频准入引擎 安防设施区 前端 IPC APT DPI 日志审计 运维管理区 抗 DDoS

新增要求 安全 管理 中心 系统管理 二级以上有要求 审计管理 二级以上有要求 安全管理 三四级要求 集中管控 三四级要求，相对等保 1.0 新增要求， 明确提出集中监控、管理、日志统一 分析等；日志 6 个月；防病毒和补 丁统一推送；各类网络安全事件进行 统一识别、报警和分析 等保 2.0 通用要求变化 第 20页 等保与分保的区别 适用对象 主管部门 标准体系 等级级别 定级依据 /UTM 、 IDS/IPS 、日志审计、网络审计、堡垒机、漏扫、 VPN 、终端安全管理、数据库审计、网络版杀毒软件、安全管理平台 选配推荐：抗 DDOS 、网闸、防毒墙、 WAF 、网络准入、 4A 账号管理、负载均衡、态势感知、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、网页防篡改 等保二级 必配推荐：防火墙 /UTM 、 IDS/IPS 、日志审计、堡垒机、网络版杀毒软件 选配推荐： 安全通信 第 46页 安全服务体系 安全服务体系 产品服 务内容 产品资源支撑 云安全服务 等保服务 安全运营 下一代防火墙 云主机安全 云堡垒机 漏洞扫描 数据库审计 日志审计 WEB 应用防火墙 网页防篡改 安全管理中心  SSL VPN  等保咨询  等保建设  等保整改  等保测评  安全咨询服务  持续威胁管理服务

平台及开源软件等的安全防护， 全面提升安全管理能力，构建企业级省大数据平台的数据、应用、系统、终端、 网络全方位安全防护体系系统。 新增 Hadoop 大数据平台的安全管控手段，加强租户、权限、账号、日志 等方面的安全防护，结合已有的安全管控体系，构建数据、应用、系统、终端、 网络全方位安全防护体系。 1.2.3 企业级大数据平台建设原则 1、统一性原则 以“逻辑集中、物理分散”为中长期目标，实现数据的统一采集、统一存储、 务为目标”的客户 360 度画像。 客户经营中心逻辑架构分为数据源、客户洞察、服务方式、服务对象、目 标市场等几个层级，具体如下图所示： 客户经营中心通过更多渠道立体收集客户需求(如客户上网日志，客户交 往话单，客户参与营销活动记录等),改变以往以品牌，ARPU 等电信属性去区隔 客户群之间的差异，结合流量的客户访问内容信息换成更加细分以衣食住行角 度观察微客户群对象需求差异。通过系统自动全量计算和手工匹配计算，实现 理与分析实时性能。对内支撑 数据产品智能推荐；对外支撑数据变现模式落地。 实时查询：实现 BI 系统中涉及 CRM 与 BOSS 的一些关键指标实时展示。 例如：业务发展、用户发展类指标、上网日志流量分析。 实时营销：现有营销实时化，实时触发营销活动，满足大数据实时运营需 求。例如：基于流处理的实时标签、营销、评估。 实时预警：实现一些指标的实时动态预警。例如：运维相关指标、仓库压 力指标、数据生成报错的及时预警。

........................................................................................25 4.3.2 日志审计................................................................................................. 在信息网用户汇聚节点旁路部署流量分析系统进行流量的实施监测和预警。流量分 析 系统采用先进的检测技术体系，基于状态的应用层协议分析技术，使系统能够准确快速地 检测各种攻击行为。 14 新一代信息网安全方案设计 流量分析日志可与信息网中的入侵检测、各类资产、威胁情报等联动，分析某一端 口 的访问频率、离散度， 建立流量对比基线、行为对比基线， 进而探测端口异常行为、发现 非 法远程访问及各类违规接入。还可用于解析常见的各类网络层协议， 提供最佳的检测。通过对恶意文件和隐蔽式攻击行为的检测和深入分析，在不断发 展的网络 环境中， 沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的 可见性和情 报。 沙箱检测系统可与流量分析日志、威胁情报、入侵检测日志等进行联动，为信息网 提 供开放且可扩展的自定义动态沙盒分析，在第一时间保护 XX 网免于 APT 与针对性攻击 的 危害。 2.3.3.5 数据防泄漏 数据防泄露系统采用业界先

中国人民大学附属中学 北京市玉渊 潭中学 爱数，以专注、技术创新为本，发挥全域数据能力 数据驱动智慧校园建设｜ 06 部分教育客户 PEKING UNIVERSI TY U N 统一日志管理及可观测性方案 云基础设施可观测性方案 灾备体系可观测性方案 AnyShare 可观测性方案 非结构化数据中台，实现“数据” +“ 知识”双擎驱动 增强数字化韧性，提升服务水平（ SLA 15 统一日志管理及可观测性方案 赋能智慧校园运维管理，提升服务水平（ SLA ） 智慧校园强调校园各个系统的互联互通，信息共享和业务协同。 日志、指标等数据作为校园信息化过程中最直接的记录，能 够真实、准确地反映校园的各项活动，是智慧校园建设中不可或缺的一部分。通过收集和分析各类日志、指标数据，能够帮 助高校了解师生的需求和问题，从而提供更加精准、个性化的智慧应用；同时日志数据也是信息安全事件追溯和防范的重要 和防范的重要 手段。无论是法规要求，还是业务运营 / 运维要求，都需要能有效的采集并使用好这些日志、指标数据，提升各类智慧应用 的服务水平（ SLA ）。 AnyRobot 统一日志管理及可观测性方案，旨在帮助组织实现对全平台机器数据的统一采集、存储、管理和分析，包括日志、 指标和调用链等。采用云原生架构和大数据处理引擎，利用机器学习算法和知识图谱技术，对各类数据进行集成和处理，全