以前的大模型是什么？

你问，它答。

现在的Agent是什么？

你说个目标，它自己去查日志、调接口、翻数据库、跑分析，最后再把结论整理好给你。

说白了，它打通了一条管道，让大模型能“看见”并“使用”你本地的数据和系统能力。

一旦这条管道建立起来，很多传统系统也就有了“智能化”的可能。

而我们这次随Panalog Ultra新版本一道上线的LogBot，是和龙虾类似的AI Agent，专门为网络流量分析场景设计。

简单讲，它是个能帮你查日志、做分析、找问题的AI智能体。

LogBot可以基于输入的自然语言，分析你本地Panalog Ultra系统里的各类数据，比如：

• 上网会话日志

• 安全告警日志

• 应用识别数据

• 流量统计数据

• 用户行为日志

……

现象与结论之间，往往有一道鸿沟

这是一场耗费大量精力、不断收集证据、反复验证推理的“战役”。

在其中，看告警、拉会话、查情报这些动作，都是确定性操作。

在网络运维与安全分析场景下，LogBot能围绕某个分析目标完成以下任务：

LogBot这个Agent的本质是打通了大模型与本地数据的通道。

它的工作方式是将本地日志数据，通过安全接口，发送给你对接的大模型，再由大模型完成理解、分析与推理，最终返回结果。

Panalog Ultra对接大模型配置页面

因此：

• 分析结果好不好，取决于对接的是什么大模型；

• 分析速度快不快，取决于大模型接口的响应速度，以及本地Panalog Ultra的查询速度。

更重要的是，由于本地日志数据会发送给大模型，因此，在使用时需务必注意对接的大模型服务安全可信。

LogBot随Panalog Ultra JIUZHANGr1p3版本开放。

新版本可前往下载中心获取：https://www.panabit.com/download

⚠️ 普通Panalog版本不支持
⚠️ 未升级至AI版本的Panalog Ultra不支持

LogBot的使用需要满足以下条件：

A Manus-like Agent for Network and Security Telemetry Analysis
一种类Manus的网络与安全遥测数据分析智能体

面向 Panabit / Panalog Ultra 生态的 Agentic 推理实践

摘要

以Manus为代表的Agentic人工智能系统，正推动大模型从被动问答走向主动执行的范式革新；近期爆火的ClawdBot开源智能体，更以本地优先、自主任务闭环与工具化执行能力，印证了“能动手、可追溯、重协同”的Agentic AI已成为技术共识。此类系统不再局限于单轮自然语言生成，而是以目标驱动的Agent形态，面向复杂任务完成问题理解、任务分解、工具调用、过程评估与结果综合，核心强调任务完成而非单轮回答、过程可追溯而非仅输出结论、外部工具与数据协同而非依赖模型记忆生成。

本文面向网络与安全分析领域开展实践性研究，以Panabit网络设备多源网络与安全遥测数据为观测基础，依托Panalog Ultra平台实现日志统一接收、组织与分析，并外接客户大模型推理接口，构建一套对标网络与安全分析场景下Manus实现的智能推理分析体系。该体系将网络与安全日志分析重构为Agentic推理任务，在数据约束下通过任务拆解、证据链驱动推理与多轮迭代综合，达成对网络运行状态、安全态势与服务质量的系统级认知。本文侧重从方法论与能力层阐述该体系设计，并结合典型问答场景验证其在运维与安全决策中的可解释性与工程复用价值。

1. 引言：从“日志系统”到“认知系统”的需求转变

现代网络环境中，网络与安全运维体系已经积累了大规模遥测数据。对于运营商级网络、大型园区网络及关键基础设施网络而言，遥测数据不仅来自于链路和设备的传统指标，也来自于会话、应用、策略、告警、情报与系统运行状态等多维信号。过去较长时间里，行业的努力主要集中在数据的采集、存储与可视化：只要把数据收集齐全，建立索引，提供仪表盘与查询界面，似乎就能解决“可观测性”的问题。

然而在真实运维与安全工作中，人们逐渐意识到一个更核心的矛盾：数据越多，并不必然带来更好的理解。大量日志被记录、被展示，却并没有自动转化为“网络当前是否健康”“是否存在正在发生的攻击”“为什么用户感觉慢”等高层结论。更典型的情况是，告警与事件数量与可执行结论之间存在显著不对称：系统可能同时显示成百上千条告警，但工程师真正需要的是把它们压缩成少量“可行动”的判断，并且能够解释这些判断的证据来源与不确定性边界。

这种矛盾并不是简单增加规则或阈值就能解决的，因为很多关键判断本质上属于多步骤推理，依赖跨数据源的关联、文本语义的理解以及因果链条的构建。也正是在这个背景下，Agentic 思维范式——尤其是以 Manus 为代表的“目标驱动、过程执行、工具协同”的路径——为网络与安全分析提供了一个新的抽象框架：日志分析可以不再是“查询工具”，而更像是“任务执行”。

2. Agentic 视角下的网络与安全分析：为何可类比为 Manus-like 系统

从表面上看，网络与安全分析似乎是典型的工程问题：给出指标、画出趋势、配置规则、触发告警。但在复杂网络中，真正棘手的问题往往具有强烈的“任务性”。当用户报告“业务变慢”时，这并不是一个单一指标问题，而是一组互相竞争的假设：是链路质量抖动，是服务端响应变慢，是拥塞与重传，是策略误伤，还是攻击导致资源争用。要在这些假设中收敛到可信结论，需要一个逐步验证与排除的过程，这恰恰就是人类专家的工作方式。

以 Manus 所代表的 Agentic 系统为参照，其关键价值不在于“某个固定模型多强”，而在于一种结构化的行为模式：系统围绕目标进行任务拆解，选择合适工具与数据执行子任务，基于中间证据不断修正路径，最后形成可解释的综合结论。将这种模式迁移到网络与安全分析，意味着把“人类专家的工作流”从隐性经验转化为显性、可复用、可评估的分析过程。

本文所述体系之所以被类比为“网络与安全分析场景下的 Manus-like 实现”，正是因为其核心逻辑并非单次问答，而是围绕分析目标展开的多步骤推理；其输出不只是结论，还包括证据链、置信度表达与盲区声明；其能力不依赖单一日志源，而强调多源遥测数据的协同与验证。

3. 数据基础：Panabit 遥测来源与 Panalog Ultra 承载方式

要在网络与安全分析中实现 Agentic 推理，首要前提是数据基础具备足够的观测覆盖度与一致性。Panabit 设备处于网络关键节点，能够提供稳定且具有操作意义的观测视角；Panalog Ultra 作为日志接收与分析平台，在系统层面承担遥测数据汇聚、组织与供给的职责，使上层分析 Agent 可以在统一视角下访问多源证据。

在该生态中，遥测数据不仅包括常见的系统日志（syslog）与安全事件，还包括与网络行为密切相关的会话与流量类数据。尤其值得补充的是，除 syslog 等文本型日志外，会话类遥测除Panabit产生会话数据外，还可以接收标准 NetFlow 格式的数据。这意味着平台不仅能处理“以业务会话为中心”的记录，也能够利用广泛行业兼容的流式遥测表达，把外部网络设备或采集链路中产生的 NetFlow 记录纳入同一分析语境。对 Agentic 推理而言，这类补充非常重要，因为它提供了一种在不同网络环境中更容易对齐的行为证据形式，使跨设备、跨链路、跨采集链条的会话级观测成为可能，同时也增强了对“谁在与谁通信、通信规模如何、通信时间如何分布”等问题的回答能力。

在文章的表述范围内，我们不讨论会话/NetFlow 接收与组织的内部实现方式，但从能力层面可以明确：当会话表能够承载 会话/NetFlow 标准数据时，Agent 在推理中可以更自然地使用“会话级事实”作为证据底座，再结合安全告警、情报命中、性能测度与系统状态，完成更接近真实运维流程的综合判断。这一设计使体系具有更好的生态适配性，也更接近“可迁移的分析范式”，而不仅仅是绑定某一类采集源的固定功能集合。

4. Manus-like Analytical Agent：方法论抽象与能力形态

在本文所述体系中，大模型被定位为分析 Agent 的认知中枢，而非单纯的自然语言生成模块。其工作方式可以用“目标—分解—证据—综合”的循环来描述。面对一个高层问题，Agent 首先形成对目标的语义理解，识别问题所属范畴与可能的证据来源；随后将问题拆解为若干可执行子任务，例如验证安全告警是否对应真实通信，验证性能退化是否与重传或线路变化一致，验证系统日志是否提示资源耗尽或链路波动；在每一步执行中，Agent 通过平台提供的数据访问能力获取证据，并基于证据更新对问题的理解，最终输出一个可追溯的综合判断。

与一些通用 Agent 系统相比，网络与安全分析对“可信度”要求更强。为此，该体系强调数据约束推理：分析结果不是凭语言生成，而是基于可回溯证据形成。换言之，系统并不追求在任何情况下都给出“肯定结论”，而是追求在证据充分时给出强结论，在证据不足时给出明确的不确定性描述，并指出盲区来自何处。这种策略使其更适合在运维与安全场景中被采用，也使其输出更接近人类专家的谨慎表达方式。

在学术语境下，这类体系通常可被概括为一种data-grounded, tool-using, agentic analytical workflow：推理与行动交织，行动以数据访问为主，推理以证据约束为边界，最终目标是实现系统级态势感知，而非单点指标判断。

Analysis AI Turbo 是一个设计精良、架构清晰的生产级 AI 数据分析系统。项目充分利用了 LangGraph 的强大能力，结合 FastAPI 的高性能特性，构建了一个安全、可扩展的智能数据分析平台。

支持智能SQL生成、SQL防注入保护，提供了数据可视化的能力。同时支持Hook机制，全异步处理。基于SSE实时响应。

5. 语义化与跨源推理：从文本告警到会话证据，再到系统态势

网络与安全日志具有明显的“多层语义结构”。会话、流量、性能这类结构化数据描述的是行为事实；而威胁情报、IDS 告警名称与 syslog 文本往往承载“解释性信号”，它们来自规则作者、设备工程师或安全专家对某类行为模式的经验编码。这些文本字段信息密度极高，但长期以来常被当作展示信息，未被系统性用于推理。

Manus-like Agent 的优势在于，它可以把文本字段当作“推理线索生成器”，把结构化会话事实当作“验证器”。例如，当 IDS 文本提示某种攻击企图时，Agent 并不会立即认定“攻击成立”，而是倾向于进一步寻找会话级证据：是否存在与该告警相对应的真实通信，是否存在持续外联，是否出现与情报库命中一致的行为模式；当 syslog 表达系统资源紧张或链路状态变化时，Agent 会倾向于把它作为解释性能退化或会话异常的潜在因子，再通过会话重传或性能测度进行交叉验证。

在这一推理结构中，会话表承载的 NetFlow 标准数据能够进一步增强“事实层证据”的适配性。尤其在异构采集环境中，NetFlow 作为行业常见的会话级遥测表达形式，使得“通信事实”的描述更容易在不同系统之间对齐，从而让 Agent 的推理过程更像是在一个统一的事实空间中运作，而不是被采集差异打断。

6. 代表性问答场景：以能力展示为中心的 Manus-like 行为示例

为了体现该体系的能力边界与应用价值，以下选取若干更贴近真实运维与安全工作的问答场景。需要强调的是，这些场景的价值并不在于“回答文本”，而在于背后的任务执行结构：系统如何拆解问题、如何选择证据、如何收敛结论、如何表达置信度与盲区。

当用户提出“当前网络是否正在遭受攻击”时，传统做法往往停留在告警数量统计或单类告警展示。但在 Agentic 推理模式中，这个问题被视为一个需要综合验证的任务。Agent 首先会把它分解为多个子问题：是否存在 IDS 与情报命中的聚集，告警语义是否指向高危阶段，是否存在与告警对应的真实会话通信，是否存在持续外联或控制通道，策略阻断是否对行为产生抑制。通过这一系列证据检索与验证，Agent 才会给出一个面向运维决策的答案，并说明结论依据来自哪些类型的证据，同时指出仍可能存在的盲区，例如加密流量带来的可见性限制或采集覆盖不足等问题。

当用户提出“业务变慢但系统没报警”的问题时，Agent 不会把它当作单一指标异常，而会构建一个多假设空间。它会尝试从网络质量角度验证是否存在重传或抖动，从路径角度判断是否存在线路变化，从系统角度检索 syslog 是否提示资源争用或异常状态，从安全角度评估是否存在策略或攻击导致的间接影响，并在多轮证据验证中逐步排除不相关路径，最终收敛到更符合证据的解释。此时，Agent 输出的价值往往体现在“解释结构”上：它能把大量分散的日志现象组织成一个因果叙事，使工程师更快建立共识，减少盲目排查的成本。

当用户提出“这些告警是不是噪声、是否存在误报”时，Agent 会体现出另一种能力：告警治理并非只看单次命中，而需要结合长期行为验证与影响评估。系统可以将语义相近的告警归并为同类事件模式，并评估它们在会话事实、业务影响与后续行为上的一致性。如果某类告警长期高频命中但几乎不伴随真实影响或后续异常行为，那么它更可能属于背景噪声或低价值告警，适合进入降权、合并或观察池。相反，某些看似低危的告警，如果语义强度指向更深阶段且与会话证据高度一致，则可能需要提升优先级。这样的分析过程不仅提供结论，也为告警策略的持续优化提供了可解释依据。

7. 系统边界与使用认知：外接大模型与 Prompt 开放性的严谨说明

为了保证技术表述的严谨性，有必要明确说明：该体系在实际部署中采用外接大模型接口的方式，即由 Panalog Ultra 通过标准化接口接入客户提供的大模型推理服务，同时在一定范围内向用户开放 Prompt 的配置与扩展能力。这种架构体现了一种解耦式智能系统思想：平台负责数据承载与 Agent 执行框架，大模型提供语言理解与推理能力，而 Prompt 则在两者协同中扮演“推理输入”的角色。

在这种形态下，分析输出的质量不应被误解为平台单方面决定的常量，而应理解为由多因素共同决定的函数。不同模型在推理深度、上下文处理能力、对复杂任务的稳健性等方面可能存在显著差异，而用户在 Prompt 中对分析目标的表达清晰度、约束条件的明确程度、输出期望的合理性，也会直接影响 Agent 的推理路径与最终综合结论。换言之，系统输出可被抽象为“数据、Agent 框架、模型能力与用户 Prompt”共同作用的结果，这种共同决定关系并不是系统缺陷，而是开放式 Agentic 系统在工程上更可扩展、更可适配的自然代价。

同样需要强调的是，外接模型与 Prompt 可配置也意味着一定程度的非确定性存在。对于复杂网络问题，往往存在多条合理解释路径，而不同模型与不同 Prompt 可能更偏向其中某条路径。为此，该体系在理念上更强调证据可追溯、置信度表达与盲区披露，而非追求“每次输出完全一致”。这种取向更贴近工程实践中对可信分析的要求：当结论来自可验证证据链时，即便不同配置导致表达方式或侧重点有所差异，工程决策仍然可以保持稳定与可控。

在用户角色上，这也带来一个重要变化：用户不再只是查询的发起者，而是在一定程度上成为分析目标与推理策略的参与者。理解模型选择与 Prompt 设计对结果质量的影响，是正确使用该体系并获得高质量输出的前提。将这一点明确告知用户，有助于形成合理预期，并促进更高效的人机协作式分析流程。

8. 结论与展望

本文介绍了一种可类比为 Manus-like Agent 的网络与安全遥测分析体系。该体系以 Panabit 设备产生的多源日志为数据基础，以 Panalog Ultra 平台作为统一的承载与分析框架，并通过外接客户侧大模型推理服务，构建了一个以任务为中心、以证据为边界、以多轮推理为手段的分析流程。与传统“查询式日志平台”相比，该体系更关注从局部现象到系统态势的认知跃迁，更强调结构化事实与文本语义的协同推理，也更强调对结论的可解释性与不确定性边界的表达。

尤其在数据基础层面，除 syslog 等系统日志外，会话层支持承载标准 NetFlow 格式遥测的能力，使体系在会话级事实证据上具备更强的生态适配性与跨环境对齐能力，为跨源推理提供了更稳健的“事实底座”。在方法论层面，系统将日志分析重新表述为 Agentic 推理任务，使专家经验能够以更可复用的形式被固化为分析路径，并通过证据链组织输出，缩短从数据到结论的距离，降低复杂诊断对个人经验的依赖程度。

展望未来，在不改变“数据约束、证据可回溯、开放可配置”的总体原则下，该体系仍具有进一步演进空间。更高层次的推理抽象、更丰富的交互式分析方式，以及与更多外部观测数据源的协同，将有助于提升系统在更复杂网络条件下的鲁棒性与泛化能力。与此同时，围绕模型选择、Prompt 设计与用户使用认知建立更完善的指引机制，也将使开放式 Agentic 系统在工程落地中表现得更加稳定可控，从而推动网络与安全分析从“工具集合”迈向“任务执行与态势认知”的更高阶段。

结语

这项工作表明，网络与安全遥测数据分析可以被自然地建模为一种智能体式（Agentic）的推理任务：在这一框架下，一个类Manus的大语言模型智能体围绕既定目标，对来自不同来源的异构遥测数据进行基于数据的推理与分析，从而实现系统层面的态势感知。最终的分析结果由数据本身、模型能力以及用户提示配置共同决定。