はじめに
先月のブログ、Elastic Inference Service (EIS) を使った「ベクトル検索」および「生成AIによる回答(RAG)」(実践編) では、EIS を通じてセルフマネージドの Elasticsearch 上でクラウド LLM を利用し、ベクトル検索や簡易的な RAG を実現する方法を紹介しました。
今回はさらに一歩踏み込み、EIS 経由で提供されるクラウド LLM を AI Agent(Kibana 内の対話型アシスタント) や、Streams(ログのパーティショニングやパース処理) に適用する方法を解説します。これにより、自前環境のデータを維持しつつ、最新の AI 機能をフル活用できるようになります。
前提条件と準備
本記事では以下の環境・準備を前提としています。
- Elastic Cloud: Enterprise License(EIS プロバイダーとして利用)
- セルフマネージド Elasticsearch: Enterprise License(筆者は v9.4.0 の Trial License で動作確認)
- EIS の初期設定: Elastic Inference Service (EIS) を使った「ベクトル検索」および「生成AIによる回答(RAG)」(準備編) のガイドに従い、EIS が利用可能な状態であること。
1. AI Agent でのモデル切り替え
Elasticsearch 内部のデータ操作やトラブルシューティングを支援する「AI Agent」の思考エンジンとして、EIS 経由のクラウド LLM を設定します。
1.1. セルフマネージド環境の Elastic Home にアクセスします。
1.2. 画面右上の [AI Agent] アイコンをクリックしてチャットパネルを開きます。
1.3. 現在設定されているモデル名をクリックします。
1.4. ローカルモデルに混じって、EIS 経由で接続しているクラウドモデル(OpenAI, Anthropic 等)が表示されるので、利用したいモデルを選択します。
1.5. モデル選択後、AI Agent に質問を投げ、クラウド LLM ならではの高い解釈能力を確認してください。
※設定した AI Agent は、Workflow 内から呼び出すことも可能です。
2. Streams での活用:パーティショニング(分割提案)
大量のログを効率的に管理するための「Streams」において、LLM を使った高度なパーティション分割(分類)を行うことができます。
2.1. Wired Streams の有効化
まず、LLM 連携に必要な Wired Streams を有効にする必要があります。
2.1.1. Management > Streams 画面を表示します。
2.1.2. 右上の [Settings] をクリックします。
2.1.3. [Wired Streams] をトグルスイッチで有効にします。
2.2. LLM によるパーティション分割
2.2.1. Streams 一覧から、パーティション分割したい Wired Stream を選択します。
(下記の例では、OpenTelemetry 経由で Windows のイベントログを取り込んだ logs.otel.windows Stream をあらかじめ作成しておき、それを選択しています。)
2.2.2. [Partitioning] タブをクリックします。
2.2.3. [Get partitions suggestions] ボタンの右にある 歯車アイコン をクリックし、EIS 経由のモデルを選択します。
2.2.4. [Get partitions suggestions] をクリックすると、LLM がログの内容を分析し、最適なカテゴリ分けを提案してくれます。
この例では、body.structured.channel の値が “Security”, “System”, “Application” の場合に、パーティション分割する案が提示されています。
2.2.5. 提案内容を確認し、適用したい項目にチェックを入れ [Accept selected] をクリックします。
2.2.6. 確認ダイアログが表示されるので、[Create all streams] をクリックします。
2.2.7. Streams のパーティション分割が行われます。しばらく待つと、分割された結果が表示されます。
! 注意点:
- LLM の提案が常に最適とは限りません。必ず内容を吟味してから適用してください。
- 分割後のパーティションに振り分けられるのは、設定完了以降に取り込まれる新しいログのみです。
3. Streams での活用:プロセッシング(Grok パターン生成)
エンジニアにとって頭の痛い「Grok パターンによるログパース」も、EIS 経由の LLM で自動化できます。
3.1. 対象の Stream を選択し、[Processing] タブ > [Interactive] を選択します。
3.2. [Field] 欄で、パースしたい元のフィールド(message など)を指定します。
3.3. [Generate pattern] 横の歯車アイコンで モデル(Anthropic Claude Sonnet 4.6 など)を選択します。
3.4. [Generate pattern] をクリックすると、LLM がログの構造を読み取り、最適な Grok パターンを提示します。
3.5. 内容に問題がなければ [Create] をクリックします。これで Grok Processor が即座に作成されます。
※ Model Management / Feature Settings の画面で、利用するモデルを選択しておくことも可能です。
まとめ
本記事では、Elastic Inference Service (EIS) を介して、セルフマネージドな Elastic 環境でもクラウド LLM の恩恵を多角的に受ける方法を紹介しました。
- AI Agent: インフラ管理の対話型アシスタントを強化。
- Streams Partitioning: 複雑なログ分類の自動化。
- Streams Processing: 職人芸が必要だった Grok パターン作成の効率化。
EIS を活用することで、「機密データは自社環境(セルフマネージド)で保持しつつ、処理には強力な外部 AI を利用する」というハイブリッドな運用が現実的になります。特に v9.x 以降の Wired Streams 連携は、オブザーバビリティの運用負荷を劇的に下げる可能性を秘めています。
ぜひ、皆さんの環境でも EIS による「AI 駆動の運用」を試してみてください。
