过去提到运维,很多人脑海里浮现的第一个画面,可能不是整洁的监控大屏,也不是自动化平台上的绿色状态,而是深夜突然响起的告警电话、群里不断刷新的故障消息、终端窗口里一行行滚动的日志,以及值班人员在凌晨三点强打精神排查问题的身影。
很长一段时间里,7×24 小时待命几乎是运维工作的常态。系统不会因为下班而停止运行,故障也不会挑一个合适的时间再发生。磁盘空间满了、CPU 飙高了、接口超时了、数据库连接池打满了、缓存雪崩了、发布后服务异常了,这些问题都可能在任何时间出现。真正进入故障现场后,排查路径往往也很朴素:先看告警,再登录机器,查指标、翻日志、看链路、问开发、找变更、查历史工单,最后依靠经验判断根因并执行处置。
那时的运维工作,很大程度上依赖人的经验和责任心。老运维为什么值钱?因为他们见过足够多的故障,知道哪些日志是真问题,哪些告警是噪音;知道某个服务一旦出现特定错误码,通常应该先检查哪个下游;知道某类接口超时,可能不是应用问题,而是连接池、DNS、网络抖动或者数据库慢查询。很多能力不是文档里写出来的,而是在一次次生产事故、一次次深夜排障中积累出来的。
但这种模式也有明显问题。人的精力有限,长时间 on-call 会让人疲惫,越疲惫越容易误判;经验高度依赖个人,某个问题只有少数人处理过,一旦相关人员不在,排障效率就会明显下降;知识沉淀不充分,很多故障处理过程散落在聊天记录、临时文档、工单评论和个人笔记里,真正复用时并不好找;流程不够自动化,很多动作反复执行,但仍然依赖人工登录、人工判断、人工操作。
随着 AI 大模型和 AIOps 的快速发展,运维行业正在发生一次底层工作方式的变化。这个变化不是简单地把一个聊天机器人接进运维群,也不是粗暴地说 AI 会替代人工运维。真正有价值的变化,是把过去分散在监控、日志、链路、工单、发布系统、知识库和人的经验中的信息串联起来,让系统能够更早发现异常、更快聚合告警、更准确辅助定位根因,并在安全边界内推动自动化处置。
传统运维的第一项基本功,是巡检。
在以前的工作方式中,巡检往往是一项高度重复但又不能省略的任务。每天需要查看服务器资源水位,确认 CPU、内存、磁盘、网络是否正常;查看关键服务进程是否存活;查看应用日志中是否存在 error、timeout、exception;查看数据库连接数、慢查询、主从同步状态;查看定时任务是否正常执行;查看业务接口是否有异常波动。
这些工作看似简单,但一旦规模变大,就会变得非常繁琐。几十台机器、上百个服务、多个中间件、多个业务系统,每天靠人工逐项检查,不仅效率低,而且容易遗漏。更重要的是,人工巡检通常只能看到当前状态,很难持续分析趋势。比如磁盘今天是 75%,明天是 80%,后天是 86%,如果没有趋势分析,很可能直到触发阈值才发现问题。
第二项常态工作,是告警处理。
传统监控系统往往有一个典型问题:告警多,但有效告警少。一个数据库连接异常,可能会引发接口超时、服务错误率升高、线程池堆积、下游调用失败、业务指标下降等一连串告警。值班人员看到的不是一个清晰事件,而是几十条甚至上百条告警消息。真正的问题只有一个,但排查人员首先要做的,却是从告警噪音中找出主线。
第三项关键工作,是故障排查。
一次典型的线上故障,通常会经历这样的流程:收到告警后,先判断影响范围;然后查看监控指标,确认是单实例问题还是整体问题;接着检索日志,寻找异常堆栈、错误码和 traceId;如果涉及多服务调用,还要查看链路追踪;如果近期有发布或配置变更,还要排查变更影响;如果问题无法快速定位,就需要拉相关开发、DBA、网络、安全等同事一起排查。
这套流程靠的是经验、沟通和耐心。问题在于,排障过程往往很难标准化。不同的人处理同一个故障,路径可能完全不同。有经验的人能快速抓住关键指标,新人则可能在大量日志中迷失方向。故障越复杂,越依赖核心人员的判断。
第四项容易被低估的工作,是故障复盘。
故障处理结束后,按理说应该完整记录故障时间线、影响范围、根因分析、处置过程和改进措施。但在现实中,复盘经常变成事后补文档。大家在故障现场已经消耗大量精力,事后再去翻聊天记录、查操作历史、整理时间点,很容易遗漏细节。于是复盘文档虽然写了,但知识没有真正沉淀,下一次类似问题发生时,仍然可能重新踩坑。
这些就是传统运维时代的真实状态:问题能解决,但代价很高;经验很宝贵,但复用不足;人很重要,但人也最容易成为瓶颈。
AI 大模型和 AIOps 的价值,不是让运维完全消失,而是改变运维工作的组织方式。
过去,运维系统里有大量数据,但这些数据往往是割裂的。指标在监控平台,日志在日志平台,链路在调用追踪系统,变更记录在发布系统,故障记录在工单系统,处理经验在文档和群聊里。每次故障发生时,人需要在不同系统之间来回切换,把这些信息拼接起来,再形成判断。
AIOps 要解决的,就是这个拼接问题。它通过数据采集、事件聚合、异常检测、关联分析和自动化执行,把原本分散的信息组织成更可理解的事件。大模型则进一步增强了对非结构化信息的理解能力,比如日志摘要、故障描述生成、历史案例匹配、复盘文档整理、Runbook 问答等。
以告警处理为例,过去系统只会告诉值班人员:服务 A 错误率升高、服务 B 响应超时、数据库连接数过高、业务成功率下降。这些信息都是真的,但它们之间的关系需要人工判断。引入 AIOps 后,可以按照时间窗口、服务拓扑、调用链路、变更记录和历史故障进行关联,把几十条告警收敛成一个事件,并给出可能的影响路径。
以日志分析为例,过去需要人工执行 grep、awk、tail 等命令,在大量日志中寻找关键异常。现在可以把特定时间窗口内的异常日志、traceId、调用链、发布记录和历史案例输入大模型,让模型先完成初步摘要:发生了什么、影响了哪些服务、主要错误类型是什么、是否与近期变更相关、历史上是否出现过类似问题。工程师不再从零开始翻日志,而是在 AI 整理出的证据基础上做判断。
以知识沉淀为例,过去经验主要靠人记。现在可以把故障复盘、处理手册、架构文档、FAQ、工单记录沉淀到知识库中,再通过 RAG 等方式让大模型基于企业内部知识回答问题。新人遇到问题时,不必先到群里问这个报错以前是否有人见过,而是可以先向运维知识助手查询相关案例、处理步骤和注意事项。
这种变化说明,AI 运维的本质不是模型替人干活,而是让经验变成系统能力。一个优秀运维人员的经验,如果只能存在于个人脑子里,价值是有限的;如果能沉淀为可检索、可调用、可执行、可审计的流程,就能服务更多人、更多系统和更多场景。
在实际落地中,AI 运维不应该一开始就追求全自动无人值守。更现实的路径,是从低风险、高重复、高价值的场景开始,逐步建立信任和闭环。
第一个适合落地的场景,是自动巡检。
传统巡检需要人工查看大量指标和日志,而 AI 巡检可以把采集、分析和报告生成串联起来。具体做法是:通过脚本或监控系统定时采集主机资源、服务状态、中间件指标、接口可用性、错误日志和关键业务指标;再根据规则或模型识别异常项;最后由大模型生成自然语言巡检报告。
报告不只是罗列数据,而是要给出判断。例如:支付服务过去 24 小时接口成功率整体稳定,但 02:10 至 02:18 出现短暂超时升高,主要集中在订单查询接口。同期数据库慢查询数量上升,未发现服务重启和发布记录。建议关注相关 SQL 执行计划,并观察今日高峰期表现。
这种报告比简单的图表更适合日常值班,因为它帮人完成了第一层信息压缩。工程师不需要每天从几十张监控图里找异常,而是重点关注 AI 标记出的风险项。
第二个场景,是告警降噪和事件聚合。
很多团队不是没有监控,而是监控太多、告警太碎。告警系统如果只负责发现异常,却不能帮助判断哪些异常属于同一个事件,值班人员仍然会被告警淹没。
智能告警收敛可以从几个维度入手:时间窗口、服务拓扑、调用关系、实例分布、错误类型、变更记录和历史相似事件。例如,当多个下游服务同时出现超时,而它们都依赖同一个数据库实例时,系统应该优先提示数据库可能是共同影响源,而不是把每个服务的告警都单独派发。
大模型在这里可以发挥两类作用:一是把聚合后的告警翻译成更容易理解的事件摘要;二是结合历史故障和知识库,提供可能的排查方向。但这里必须注意,AI 给出的不是最终结论,而是候选判断。真正的根因仍然需要证据链支撑。
第三个场景,是日志分析。
日志天然适合大模型处理,因为它包含大量非结构化文本。传统方式下,通常先根据关键字查 error,再根据 traceId 串联上下游,最后结合时间点和监控指标判断问题。这个过程很依赖个人经验,也很消耗时间。
LLM 辅助日志分析可以先做几件事:提取异常日志中的核心错误信息;归类相似错误;识别高频异常;关联 traceId;结合近期发布记录判断是否存在变更相关性;匹配历史故障案例;输出疑似根因和建议动作。
例如,当系统出现大量接口超时时,AI 可以辅助总结:主要异常集中在用户查询链路,错误类型以 read timeout 为主;异常开始时间与 20:05 的配置变更接近;调用链显示超时主要发生在服务 A 调用服务 B 阶段;历史案例中曾因连接池配置过小导致类似现象。建议优先检查服务 B 的连接池、线程池和近期配置变更。
这样的输出并不能替代工程师,但能显著缩短信息整理时间。它相当于先把杂乱的信息整理成一份初步排查报告,让人从找线索转向验证线索。
第四个场景,是故障复盘自动化。
一次故障真正有价值的部分,不只是恢复服务,而是避免同类问题再次发生。AI 可以帮助把复盘从事后补文档,变成自动生成初稿 + 人工校正确认的流程。
故障结束后,系统可以汇总告警时间线、监控指标变化、关键日志、发布记录、操作记录、IM 群关键消息和工单流转记录,由 AI 生成复盘初稿,包括故障概述、影响范围、时间线、根因分析、处置过程、暴露问题和改进项。工程师再对初稿进行校正,补充判断和结论。
更重要的是,复盘结果不能只停留在文档里。高频故障应该转化成监控规则,明确处置路径的问题应该沉淀成 Runbook,可自动化的动作应该进入自动化平台。只有这样,一次故障才真正转化成系统能力。
第五个场景,是 Runbook 自动化。
很多故障处理动作其实是标准化的,比如清理磁盘、重启非核心实例、扩容副本、切换流量、回滚配置、禁用异常节点等。传统方式下,这些动作依赖人工执行,容易因为紧张或疲劳出现误操作。
比较稳妥的智能化路径是分阶段推进:
这个过程的关键不是 AI 能不能执行命令,而是什么情况下允许它执行,执行前需要哪些证据,执行后如何验证效果,失败后如何回滚。越接近生产控制面,越需要严格的权限、审计和熔断机制。
| 落地场景 | 传统运维方式 | 智能 AIOps 方式 | 核心价值 | 落地难度 |
|---|---|---|---|---|
| 自动巡检 | 人工登录机器、查看监控大屏、检查日志和服务状态 | 自动采集主机、服务、中间件、接口、日志等数据,由 AI 生成巡检报告和风险提示 | 减少重复巡检工作,提前发现资源水位、异常趋势和潜在风险 | 低 |
| 告警降噪 | 每条告警单独触发,值班人员人工判断优先级和关联关系 | 根据时间窗口、服务拓扑、调用链路、变更记录进行告警聚合和事件收敛 | 降低告警风暴影响,提升有效告警比例,缩短响应时间 | 中 |
| 日志分析 | 人工使用 grep、awk、tail 等命令检索日志,依赖经验判断异常原因 | AI 对异常日志进行摘要、归类、相似案例匹配,并结合 traceId 和调用链辅助分析 | 降低日志阅读成本,加快故障线索定位,提升新人排障效率 | 中 |
| 根因定位 | 人工在监控、日志、链路、变更系统之间切换,逐步排查 | 聚合指标、日志、链路、变更、历史故障,生成疑似根因、证据链和排查建议 | 从 “人工找线索” 转向 “基于证据验证线索”,降低 MTTR | 高 |
| 故障复盘 | 故障结束后人工翻聊天记录、操作记录和监控截图,补写复盘文档 | AI 自动整理时间线、影响范围、处置过程、根因分析和改进项,生成复盘初稿 | 提升复盘效率,让故障经验更容易沉淀为知识库和 Runbook | 中 |
| Runbook 自动化 | 值班人员根据文档手动执行重启、扩容、切流、回滚等操作 | AI 根据故障上下文推荐 Runbook,经人工审批后触发自动化执行 | 减少重复操作和人为失误,推动标准化处置闭环 | 高 |
| 变更风险识别 | 发布前主要依赖人工评审、测试结果和经验判断风险 | AI 结合历史故障、代码变更、配置变更、依赖关系和监控基线评估发布风险 | 将稳定性保障前移,降低变更引发故障的概率 | 高 |
| 容量预测 | 根据历史经验或固定阈值判断是否需要扩容 | 基于历史流量、资源趋势、业务周期和异常波动进行容量预测 | 提前发现容量瓶颈,避免高峰期资源不足或过度扩容 | 中 |
| 知识库问答 | 依赖人工查文档、问同事、翻历史工单和群聊记录 | 通过 RAG 将故障复盘、处理手册、FAQ、工单记录接入 AI 问答 | 降低知识获取成本,加速新人上手,提升经验复用率 | 中 |
| 自动自愈 | 故障发生后人工判断并手动执行恢复动作 | 在低风险、高确定性场景下,由系统自动触发扩容、重启、隔离、回滚等动作 | 从被动响应走向主动恢复,提升系统韧性 | 很高 |
在 AI 运维实践中,最容易犯的错误,是把大模型当成万能工具。
第一个坑,是 AI 会生成看似合理但不一定正确的结论。大模型很擅长总结和表达,但如果没有真实监控数据、日志证据、服务拓扑和变更记录支撑,它的判断可能只是听起来合理。在生产环境中,没有证据链的结论不能作为根因,只能作为参考。
第二个坑,是数据质量差会直接影响 AI 效果。如果日志没有统一格式,没有 traceId,错误码不规范,服务命名混乱,监控指标缺失,告警规则随意配置,那么再强的模型也只能在混乱数据上做总结。AIOps 的基础不是模型,而是可观测性建设。指标、日志、链路、事件、变更、工单和知识库的数据质量,决定了 AI 能走多远。
第三个坑,是自动化边界设计不足。有些团队一开始就想做自动处置,但没有明确权限控制、审批机制、回滚方案和审计记录。这是非常危险的。AI 一旦接入执行系统,就不再只是问答助手,而是具备生产影响力的操作主体。一个错误建议如果被自动执行,可能会扩大故障影响。
第四个坑,是忽视人的角色。智能运维不是要把人完全排除在流程之外,而是让人从重复操作中解放出来,把精力放在系统设计、风险判断、流程治理和复杂决策上。AI 可以帮助整理信息、推荐方案、生成文档,但生产稳定性的最终责任仍然需要人来把关。
AI 运维时代,对运维人的要求并没有降低,反而变得更综合。
首先,传统基础能力仍然重要。Linux、网络、数据库、中间件、容器、Kubernetes、CI/CD、监控告警,这些仍然是底层基本功。没有这些基础,就很难判断 AI 的建议是否合理。
其次,可观测性能力变得更加关键。未来的运维人不能只会看监控,还要懂如何设计指标、日志和链路体系,如何定义 SLI/SLO,如何建立服务拓扑,如何让不同系统的数据能够关联起来。没有高质量可观测数据,就没有可靠的智能运维。
第三,自动化开发能力会越来越重要。无论是巡检、告警、发布、回滚还是复盘,只要流程可以标准化,就有自动化空间。Python、Shell、Go、API 编排、CI/CD、脚本平台、任务调度,这些能力会成为智能运维落地的基础工具。
第四,大模型应用能力正在成为新要求。运维人不一定要训练大模型,但需要理解 RAG、Prompt、Agent、工具调用、向量检索、知识库构建等基本概念。更重要的是,要知道哪些场景适合用大模型,哪些场景不适合;哪些输出可以自动化,哪些必须人工确认。
第五,风险治理能力会成为核心竞争力。智能运维越深入生产系统,越需要关注权限、审计、审批、回滚、熔断、数据脱敏和安全合规。未来优秀的运维人,不只是会解决故障,还要能设计一套可靠、可控、可持续演进的智能运维体系。
回头看传统运维时代,那些深夜排障、人工巡检、告警轰炸和紧急恢复的经历,并不是没有价值。恰恰相反,它们是智能运维建设最重要的原材料。因为只有真正经历过生产故障,才知道哪些信息在现场最关键;只有真正被告警淹没过,才知道告警收敛有多重要;只有真正翻过海量日志,才知道日志规范和 traceId 有多重要;只有真正写过复盘,才知道知识沉淀不能停留在口号。
AI 运维并不是对传统经验的否定,而是对传统经验的升级。过去,经验帮助一个人更快排障;现在,更重要的是把经验沉淀成系统能力,让更多人、更稳定地处理更多问题。过去,系统更多依赖人来扛住;未来,系统需要依靠平台、流程、数据和 AI 协同来提升整体韧性。
AI 不会简单取代运维,但它一定会重塑运维。那些只依赖重复操作、手工巡检、被动响应的工作方式,会逐渐被自动化和智能化替代。而真正有价值的运维能力,会从会不会执行命令,转向能不能设计体系;从能不能救一次火,转向能不能减少下一次火;从个人经验强不强,转向能不能把经验沉淀为组织能力。
未来的运维人,不再只是故障现场的救火队员,也不只是监控大屏前的值班人员,而是智能运维体系的建设者、训练者和守门人。这个角色既需要理解系统,也需要理解数据;既需要掌握自动化,也需要理解 AI;既需要追求效率,也需要守住安全边界。
从 7×24 救火到 AI 协同,这条路不是一夜之间完成的。它需要从一个个具体场景开始,把巡检自动化,把告警收敛化,把日志结构化,把复盘知识化,把处置流程化,把经验系统化。只有这样,智能运维才不会停留在概念上,而会真正成为提升稳定性、效率和工程质量的生产力。
AI 运维时代已经到来。对每一个运维人、测试开发和稳定性工程师来说,真正的问题不是 AI 会不会替代人,而是如何借助 AI,把个人经验和工程能力放大成一套更可靠的系统。这,或许才是智能运维转型中最值得思考的答案。
相关阅读
##### FunTester 名片|万粉千文,百无一用