Un agente AI per analisi log enterprise può ridurre il tempo di diagnosi quando gli alert segnalano un problema ma non spiegano la causa.
In un’architettura distribuita (un gateway centrale e sistemi satellite) un errore di timeout può significare tutto o niente. Gli strumenti di observability tradizionali segnalano che qualcosa non va, ma raramente spiegano perché.
Agente AI per analisi log enterprise: obiettivo e perimetro
Il nostro team R&D si è posto una domanda precisa: è possibile costruire un agente AI che formuli ipotesi diagnostiche affidabili su log applicativi non strutturati, anche in assenza di dati etichettati?
Il problema: allarmi senza contesto
I sistemi di monitoraggio basati su regole statiche generano alert che gli operatori interpretano manualmente. Dove un singolo flusso attraversa più componenti, risalire alla causa radice richiede ore di analisi e profonda conoscenza di dominio.
È un limite strutturale dell’approccio: le regole statiche non catturano le correlazioni tra sistemi e non producono ragionamento diagnostico.
L’ipotesi di ricerca
Abbiamo progettato un agente AI diagnostico capace di ricevere un alert, interrogare autonomamente i log dei sistemi coinvolti e produrre un report strutturato: ipotesi sulla causa radice, livello di confidenza, evidenze a supporto e, elemento distintivo, una mappa esplicita delle lacune informative nei dati.
Un agente che dichiara ciò che non sa è un agente di cui ci si può fidare: non inventa correlazioni, non produce false certezze. Delimita il perimetro della propria analisi.
Lo scenario sperimentale
La sperimentazione è stata condotta su dati reali di produzione, completamente anonimizzati, provenienti da un’infrastruttura con gateway e sistema satellite. Log privi di etichettatura o metadati infrastrutturali: lo scenario più sfidante possibile, che definiamo blind analysis.
L’agente ha interrogato i log tramite il protocollo MCP (Model Context Protocol) e ha prodotto report diagnostici con ipotesi coerenti con i pattern osservabili, identificando le aree di correlazione tra i sistemi coinvolti.
Sicurezza by design: il ruolo della Whitebox
L’intera sperimentazione è stata condotta nella nostra piattaforma AI Whitebox. L’agente opera in sandboxing ad alto isolamento, con filesystem in sola lettura e privilegi azzerati. Ogni interrogazione è validata da un motore policy-as-code e l’intero percorso decisionale è registrato nel modulo di osservabilità, garantendo piena ispezionabilità.
Non è un dettaglio architetturale: è il prerequisito per impiegare agenti AI su dati sensibili in contesto enterprise. La governance verificabile (identità, autorizzazioni, tracciabilità) è parte integrante della nostra ricerca.
Cosa abbiamo imparato
I risultati confermano l’ipotesi: anche in condizioni di informazione minima, un agente adeguatamente orchestrato produce analisi diagnostiche utili e, soprattutto, oneste. La capacità di esplicitare i data gap trasforma l’agente da oracolo opaco a strumento di supporto decisionale trasparente.
Questa linea di ricerca prosegue con l’integrazione di tecniche di anomaly detection non supervisionata e correlazione cross-sistema, verso una pipeline completa: dal rilevamento automatico dell’anomalia alla diagnosi assistita.
