KibanaのAI Chatがダッシュボードをネイティブにレンダリングするように

KibanaのElastic AI Chatでは、平易な質問をES|QLに裏付けられた可視化や完全なダッシュボードに変換し、会話の中で直接利用できます。必要な指標を定義し、必要に応じて修正し、ストーリーが成り立つようになったら保存できます。すべては会話の中に残り、保存の準備ができるころには、チームが開いて編集し再利用できる一流のKibanaオブジェクトになります。Elastic 9.4でテクニカルプレビューとして利用可能です。

エージェントはダッシュボードをゼロから構築しますが、既存のものも使用できます。ダッシュボードを表示中にAI Chatのサイドバーを開くと、自動的に接続されます。指標が急上昇した理由を尋ねたり、地域別に分析したり、比較パネルを追加したりしてみましょう。既存のダッシュボードが単なる最終成果物ではなく出発点となります。

舞台裏：AI Chatでダッシュボードを構築した方法

私たちは、スキル（与えられた問題に対する操作方法の構造化された記述）を通じて、エージェントに特定のタスクを教えます。しかし、ダッシュボードスキルを構築するには、LLMに有効なKibanaダッシュボードを生成する方法を教える必要がありましたが、従来のSaved Object APIでは、深くネストされたJSON、微妙なバージョン間の変更、脆弱な参照など、多くの問題があり、非常に困難でした。別のアプローチが必要でした。

プログラマティックダッシュボード専用に設計されたAPI

新しいDashboards APIは、まさにこのシナリオのために構築されました。生の内部状態を公開する代わりに、パネルの種類ごとに型付けされ検証済みのスキーマを提供します。APIは、クリーンな外部構造とKibanaの内部表現間の変換を処理するため、エージェントはダッシュボードのフォーマット方法ではなく、ダッシュボードに含めるべき内容に集中できます。

1つのスキル、1つのツール、多数の操作

dashboard-managementスキルは、操作の順序付き配列を受け入れる単一のmanage_dashboardツールを公開します。各操作は個別のアクションです。メタデータの設定、マークダウンパネルの追加、自然言語からのES|QLベースの可視化の作成、既存パネルの編集、パネルの折りたたみ可能なセクションへのグループ化、グリッド上のアイテムの再配置などが可能です。

エージェントは、タイトル、説明、セクション、およびその中のすべてのパネルなど、ダッシュボード全体を1回の呼び出しで説明できます。

操作は順序通りに実行されるため、後のステップは前のステップを参照し、その上に構築できます。この設計により、議論は実装の詳細ではなく、意図に焦点を当てたものとなります。

可視化パイプライン：自然言語からES|QL、そして可視化へ

ダッシュボードを要求すると、エージェントはデータ（インデックス、フィールドマッピング、タイプ）を探索し、可視化を計画し、manage_dashboardを呼び出します。

各パネルは、グラフタイプの選択、ES|QL生成、可視化構成、検証という独自のパイプラインを通過します。これをメインのエージェントスレッドから分離しました。可視化の構築にはパネルごとに複数のモデル呼び出しが必要であり、それをメインのコンテキストに混ぜるとウィンドウが肥大化し、推論が不明瞭になるためです。

manage_dashboardの内部では、すべてのパネルが同時に組み立てられ、順番に組み立て直されます。結果として、埋め込みパネルを備えた完全なダッシュボードが得られます。孤立した可視化も、同期の問題もありません。

ダッシュボードツール内に可視化作成機能を移動した理由

最初のアプローチでは、個別のcreate_visualizationツールを使用しました。パネルごとに1回呼び出しを行い、各添付ファイルをダッシュボードツールに渡しました。うまくいきましたが、各可視化には独自のツール呼び出し、独自のライフサイクル、そして明示的なハンドオフが必要でした。さらに悪いことに、会話内で可視化を編集してもダッシュボードパネルが更新されず、ユーザーを混乱させる結果となりました。

視覚化の作成機能をmanage_dashboardに直接統合しました。同じ並行ワークフローが実行されますが、パネルは中間的な接続を介さずにダッシュボード構造に組み込まれます。呼び出し回数が減り、同期の問題も発生せず、ライフサイクルは1つに統合されます。

スタンドアロンの可視化は引き続き機能します。既存のチャートは添付参照を使ってダッシュボードに追加できますが、新規作成の場合はインライン作成のほうがより適切です。

セキュリティチーム向け

SOCアナリストや検出エンジニアには、調査中にダッシュボードエディターを往復する余裕はありません。AI Chatでは、ルールの種類、ホスト、MITREの戦術別にアラート量を尋ねると、約1分でスレッドに表示されます。ハンティングが進むにつれて、コンテキストを損なうことなく、プロセス実行の異常、ネットワーク接続、タイムラインの比較といったパネルを重ねていくことができます。

作業が終わったら保存します。ダッシュボードは、事後分析の参考資料となり、次のアナリストの出発点となり、週次の脅威ブリーフィングの資料にもなります。再説明は不要です。

セキュリティチームがダッシュボード作成や最近開始されたその他のAI Chat機能をどのように利用できるかについては、こちらのブログ記事をご覧ください。

オブザーバビリティおよびサイト信頼性エンジニア（SRE）向け

午前2時にサービスがダウンした場合、ダッシュボードを一から構築する時間はありません。AI Chatを使用すると、SREは必要なメトリクス（サービスごとのp99レイテンシ、導入イベントに対するエラー率、過去1時間のポッド再起動数）を記述し、約1分で調査スレッドに完全なダッシュボードを取得できます。エージェントは、全体像がはっきりしてくるにつれて、パネルを追加し、時間ウィンドウを変更し、地域ごとに細分化し、段階的に調整できます。

ダッシュボードを保存すると、インシデントブリッジに参加する全員が作戦室ですぐにそのダッシュボードを利用できるようになります（同じパネル、同じフレーム）。事件後、それは事後検証の基礎となります。

次のステップ

トークンの最適化、よりリッチな全画面表示、より幅広いパネルのサポート、そして継続的な品質の向上に取り組んでいます。テクニカルプレビューは、優先順位を決定する絶好の機会です。何か不足している点があれば、上部メニューの「フィードバックを送信」アイコンからお知らせください。

試してみる

Elastic 9.4にアップグレード（またはトライアルを開始）するか、AI Chatを全画面モードで開いて、実際の調査で試してみてください。エージェントに注目している指標のグラフを作成してもらい、その後、次の詳細な内訳を依頼します。ストーリーが成立したら、保存して共有してください。同じパネル、同じ構図で、再説明は不要です。エンタープライズライセンスが必要です（利用開始はこちら）。本記事に記述されているあらゆる機能または性能のリリースおよびタイミングは、Elastic単独の裁量に委ねられます。現時点で提供されていないあらゆる機能または性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。