点击蓝字关注我们
在可观测性领域,运维工程师(SRE)常面临一个悖论:我们收集了海量的日志,但在关键时刻,这些日志却成了干扰排障的“噪音”。为了解决这一痛点,Elastic 在 9.2 版本中推出了全新的 Streams 能力,其中最令人振奋的莫过于 Significant Events(重要事件)。
本文将带你深入了解这一功能如何利用 AI 改变我们处理日志的方式。
1
什么是 Streams?
在聊“重要事件”之前,我们需要先理解 Streams。在 9.2 版本中,Streams 不仅仅是数据流的 UI 界面,它是一套智能化的日志处理框架。它集成了 AI 解析、自动分区和生命周期管理,允许用户将原始、无结构的日志直接发送到 logs 端点,由系统自动完成结构化提取。
2
核心焦点:Significant Events(重要事件)
Significant Events 是 Streams 体系中的“哨兵”。它的目标非常明确:从数亿条日志中,自动识别并标注出那些真正值得关注的信号。
2.1 它是如何工作的?
“重要事件”通过定期在数据流上运行查询来发现关键信息。它主要提供两种配置方式:
AI 自动生成建议:如果你面对全新的业务日志,不知道该搜什么,你可以利用生成式 AI 连接器。AI 会分析日志模式,识别出诸如 OutOfMemoryError、Certificate Expired 或 Internal Server Failure 等潜在风险,并为你推荐监控查询语句。
手动定义查询:如果你已经明确知道某些关键字(如 FATAL 或特定的业务错误码)代表重大问题,可以手动创建查询规则。
2.2 为什么它比传统告警更强?
传统的告警通常是“非黑即白”的静态阈值。而 Significant Events 的优势在于:
上下文感知:它结合了 AI 解析出的结构化字段,能够理解事件的语义,而不仅仅是匹配字符串。
降噪能力:通过将日志自动分区(Partitioning),它能精准定位是哪个服务、哪个实例发生了异常,避免了“告警风暴”。
调查起点:这些事件在 Kibana 中表现为直观的“标记(Markers)”,SRE 可以直接点击事件,跳转到相关的日志上下文进行回溯,实现了从“发现”到“排障”的无缝衔接。
3
核心技术优势
4
实战建议:如何开始使用?
升级至 9.2:确保你的集群和 Kibana 已升级至 9.2 或更高版本(目前该功能在 Technical Preview 阶段)。
配置 AI 连接器:在 Stack Management 中配置 OpenAI 或其他大模型连接器,以开启 AI 建议功能。
接入原始日志:尝试直接向 Streams 写入无结构日志。
定义事件:进入 Observability > Streams 页面,点击 Add Significant Events,让 AI 帮你“捞出”那些埋藏在深处的系统隐患。
5
总结
Elasticsearch 9.2 的 Significant Events 标志着日志管理从“被动记录”向“主动洞察”的跨越。它不再要求工程师去适应复杂的 DSL 查询,而是让 AI 充当经验丰富的资深架构师,实时为你指出:“看,这里出问题了。”
对于追求极致运维效率的团队来说,这无疑是 2026 年最值得尝试的特性之一。
关于公司
感谢您关注新智锦绣科技(北京)有限公司!作为 Elastic 的 Elite 合作伙伴及 EnterpriseDB 在国内的唯一代理和服务合作伙伴,我们始终致力于技术创新和优质服务,帮助企业客户实现数据平台的高效构建与智能化管理。无论您是关注 Elastic 生态系统,还是需要 EnterpriseDB 的支持,我们都将为您提供专业的技术支持和量身定制的解决方案。
易捷问数(NewmindExAI)
易捷问数(NewmindExAI)平台是新智锦绣科技(北京)有限公司自主研发的一款开箱即用的企业级一体化智能数据分析平台,基于 Apple Mac Studio 硬件,以 Elastic 为数据底座,扩展支持其它数据源,依托本地LLM/在线LLM、集成 NewRAG 智能知识库、NewFlow智能中枢工作流和 NewChat 智能聊天三大功能为一体,实现 LLM 驱动的一体化解决方案。
欢迎关注我们,获取更多技术资讯和数字化转型方案,共创美好未来!
 |  |
Elastic 微信群 | EDB 微信群 |
发现“分享”和“赞”了吗,戳我看看吧
