现有监控系统(如Prometheus和Grafana)能有效报告系统异常(如CPU飙升、容器重启),但往往无法深入解释问题根源。手动检查Docker容器日志耗时且易遗漏关键信息,尤其是在多容器环境下,这正是运维团队面临的一个痛点。
为解决这一痛点,作者构建了一个自动化日志处理管道:一个Python脚本每隔15分钟运行一次,抓取Docker容器日志,初步筛选出潜在的关键日志条目。随后,这些关键日志被发送到一个运行在Oracle云实例上的小型语言模型DeepSeek-R1(通过Ollama提供REST API服务)。该模型负责将原始日志信息提炼成简洁的英文摘要,最终通过Discord通知用户。
这种方式将日志分析的重担从人工转移到LLM,确保只有真正重要的问题才会触达用户。尽管这不是一个复杂的、具备多步推理和工具使用的AI Agent,但它是一个直接的自动化解决方案——结合了规则式分类和LLM的摘要能力,有效解决了实际运维难题,并为LLM在基础设施工作流中的集成提供了宝贵的实践经验。
有人可能会问,为什么不直接用Alertmanager处理所有问题?答案在于:Alertmanager擅长处理指标数据(Metrics),例如CPU利用率过高或节点失联。但指标和日志是两种不同的信息源。
举例来说,一个容器可能在指标层面看起来一切正常——CPU、内存稳定,健康检查通过——但其内部却可能不断记录错误。比如,它可能反复尝试连接上游API失败,或者每30秒重试一次数据库连接,甚至出现将在下个版本中导致中断性变更的弃用警告。这些内部问题都不会在Prometheus指标中体现,却会在日志中清晰呈现。
因此,这个日志智能分类管道的核心价值在于弥补了“容器正在运行”和“容器健康良好”之间的信息鸿沟。
该日志处理管道由分布在两台机器上的四个主要组件构成:
本地服务器(位于Waco, Texas):
- 负责读取Docker日志并进行严重性分类的Python脚本。
- 每15分钟运行一次该脚本的cron定时任务。
- 生成日志的Docker容器环境。
Oracle云实例(位于Phoenix, Arizona):
- Ollama,用于将DeepSeek-R1 1.5B模型作为REST API服务。
连接组件:
- Tailscale,通过加密网状VPN连接两台机器。
- Discord Webhooks,接收最终的告警信息。
这种组件分离设计是经过深思熟虑的。LLM模型在Oracle云实例上运行,因为它配备了24GB内存,足以舒适地加载小型模型。而本地服务器的资源余量较少,避免模型推理与Docker服务竞争资源,确保了系统运行的稳定性。
