从命令行到自动诊断：构建 AI 驱动的故障树与交互式排障机器人

不同源的数据必须变成统一 schema，主要包括：

• 时间戳（精确到毫秒）
• 设备与接口标识
• 事件类型
• 原始 payload
• 附加元数据（对齐 index、对齐协议）

这是后续推理的基础。

3）知识层（KB）

知识库包含三类：

• 结构化故障树（FT）
• 历史故障案例的 RCA（带标签）
• 运行时经验与规则

它是系统的核心，也是'工程师经验的结构化表达'。

4）推理层（引擎）

由三类组件组成：

• 规则引擎（可解释）
• ML 排名器（从历史数据学习）
• 因果图 / 贝叶斯网络（做置信度传播）

三者结合，决定候选根因和最小验证集。

5）对话层（交互式机器人）

它不是一个简单的 ChatGPT，而是：

• 带状态
• 带置信度
• 带可选操作
• 能运行命令

它用自然语言与工程师协作，减少盲查。

6）执行层（动作执行器）

支持：

• CLI
• Netconf
• REST
• Ansible / Nornir / Napalm

必须支持：

• dry-run
• 回滚
• 前置/后置验证

审计与回放（横向层）

每一个决策、命令、证据都必须被记录，并与版本绑定。

2.2 整体工作流程

把上面串起来，是一条完整流水线：

事件进入 → 数据归一化 → 规则筛选 → 生成候选 → 选最小验证集 → 执行探测 → 更新置信度 → 决定修复方案 → 审计与回放

这条链路，未来就是企业级'AI 运维平台'的骨架。

3、数据模型与采集策略

诊断的底层能力，取决于能不能拿到'足够好'的数据。

3.1 需要哪些数据？怎么采？

1）配置（Config DB）

工程师常说：

"95% 的故障都是配置引起的。"

所以配置必须：

• 全量存储
• 有版本号
• 有变更记录
• 能做 diff

这是自动诊断最关键的数据源。

2）Syslog / Trap

这是第一层'事件信号'。

要做两件事：

• 把文本解析成结构化事件
• 做优先级规则（丢弃噪声、归类）

3）Telemetry（gNMI）

遥测是诊断准确性的关键。

采样策略如下：

4）Flow

用于识别路径变化、流量突变。

5）PCAP

仅在需要深挖协议时触发，不常开。

6）变更日志

在诊断中非常关键。任何变更引起的故障，都可以被因果模型迅速缩小范围。

7）业务上下文

例如某个业务的 VLAN、子网、路径、策略。它帮助推理层做'提纲挈领的过滤'，减少候选。

8）网络拓扑（Topology Graph） 诊断的基石。必须实时维护一份包含物理链路（LLDP/CDP）、逻辑邻居（OSPF/BGP）和业务路径的动态图谱。 作用： 它是推理引擎的地图，没有它，系统就无法将'端口 Down'与'业务卡顿'关联起来。

3.2 统一的数据 schema（示例）

{
  "timestamp": "2025-12-11T08:23:00.123Z",
  "device_id": "core-sw-01",
  "source": "syslog",
  "event_type": "interface-down",
  "interface": "TenGigE0/1",
  "raw": "Link down, reason: remote fault",
  "meta": {
    "if_index": 101,
    "peer_device": "agg-sw-02"
  }
}

做统一 schema 后，所有推理逻辑才能做置信度计算与证据链构建。

4、故障树（Fault Tree）建模

4.1 为什么要用故障树？

你可能会问：'既然现在是 AI 时代，为何还要用传统的故障树？'

因为：

• 故障树结构化表达了工程师的经验；
• 故障树提供了可继承性（所有工程师共享）；
• 故障树提供了可审计性（为什么得出这个推断）；
• 故障树提供了置信度传播的结构；

换句话说：

'故障树是可解释 AI 在网络诊断领域最适合的知识组织方式。'

ML 是加分项，但故障树是底座。

4.2 节点建模（JSON 结构）

故障树包含三种节点：

• observable：可直接观察（例如'接口 down'）
• hypothesis：假设（例如'光模块老化'）
• test/action：可执行的验证动作（show / traceroute）

下面是一个简化示例：

{
  "id": "FT-0001",
  "title": "链路故障导致丢包",
  "type": "OR",
  "children": [
    {
      "id": "N1",
      "type": "observable",
      "predicate": "interface_down",
      "params": {"device": "core-sw-01", "if": "TenGigE0/1"}
    },
    {
      "id": "N2",
      "type": "AND",
      "children": [
        {"id": "N2-1", "type": "observable", "predicate": "high_err", "params": {}},
        {"id": "N2-2", "type": "hypothesis", "predicate": "microswitch_flap", "params": {}}
      ]
    }
  ]
}

推理时，引擎会从叶节点向上计算置信度。

4.3 故障树如何动态'学习'？

每次真实事故发生后：

• 系统判断最终 root cause
• 收集整个诊断过程的证据链
• 自动'补丁'故障树（新增节点或调整权重）

这样你最终会获得一个 越用越准、越用越丰富 的知识库。

5、推理引擎设计

推理层是整套系统最核心的部分。

它需要可解释、可扩展、可回滚。

5.1 三段式结构：规则 + ML + 因果

推理由三类组件协同完成：

1）规则引擎：第一层粗筛（可解释）

适合：

• 设备 up/down
• 配置匹配冲突
• ACL 拒绝
• OSPF/BGP 邻居异常
• CPU/内存异常

规则引擎的优点：

• 快
• 稳定
• 可审计
• 适合关键场景

2）ML 排名器：排序候选 root cause

规则无法直接命中时，由 ML 根据：

• 历史故障的模式
• 指标组合
• 拓扑特征
• 时间序列变化

来给候选排序。

3）因果网络：做置信度传播与最小探测集

比如：

链路 down → 路由撤销 → 流量切换 → 业务丢包

因果图知道：

• 应该沿着哪个方向传播信息增益；
• 应该先执行哪些验证步骤；
• 应该在哪些节点降低置信度。

5.2 最小验证集选择算法

真正的价值不是'猜'，而是：

给工程师选出最少的命令，用最小成本确认 root cause。

伪代码如下：

输入：事件 E, KB, 阈值 theta
候选 = rules.match(E) 或 ml.generate(E)
对每个 c 计算 score[c]
按 score 排序
validation_set = 选择能带来最大信息增益的测试
输出：候选根因、验证步骤

5.3 主动探测（Active Probing）

主动探测包括：

• show 命令
• BFD/ICMP 探测
• traceroute
• queue stats
• 流量采样
• 接口短时间 loopback 测试

原则是：

• 低成本
• 不破坏现网
• 可快速验证假设

主动探测是自动诊断与人类排障的最大差异之一。

6、对话式机器人（核心的人机交互层）

对话式机器人，不是聊天工具，而是'结构化的智能助手'。

6.1 设计原则

• 每一句话都必须有上下文
• 每一步都必须包含置信度
• 所有建议操作必须明确区分'建议'和'执行'
• 所有命令不可隐式执行，必须显式授权
• 对话模型必须能'记住'当前分析状态
• 目标是减少盲查，不是生成堆命令

6.2 一个真实示例（像工程师一样对话）

场景：某业务在 VLAN100 出现大规模丢包。

用户： VLAN100 的业务从 10:23 开始丢包，影响多台服务器。

机器人： 我已收集相关遥测。当前可能原因包括： 1）核心–汇聚链路错误突增（置信度 0.62） 2）队列拥塞（置信度 0.57） 3）ACL 丢弃（置信度 0.33） 4）路由切换（置信度 0.28）

为区分这几类，我建议执行三个低风险验证步骤：

1. core-sw-01：show interface TenGigE0/1 counters
2. agg-sw-02：show queue interface Gig1/0/2
3. 过去 5 分钟的 NetFlow 统计（自动获取）

是否执行？

用户： 执行。

机器人： TenGigE0/1 RX errors 持续增长；queue drops 在 agg-sw 上同步增高。 更新后的推断：

• 链路/光模块故障（置信度 0.86）
• 业务侧队列拥塞（置信度 0.41）

建议先触发链路冗余切换，并自动生成备件工单。是否生成工单并等待你确认切换？

这种对话结构，是企业级系统所需的。

7、命令生成与验证框架（CLI/Telemetry/Flow 的统一抽象）

自动诊断的本质不是'让 AI 发命令'，而是让它像一个经验丰富的工程师一样：知道什么情况该查什么命令，哪些命令能带来最大信息量。

因此我们需要一个'命令抽象层'。

7.1 为什么需要命令抽象层？

如果直接让 AI 生成 CLI，会有两个问题：

1）不同厂商命令格式差异巨大（Cisco、Huawei、Juniper）
2）不同设备 OS、硬件型号、版本差异也很大
3）同一个命令输出结构不同，会导致难以解析
4）难以做统一审计与统一验证

工程化的解法是：

用'意图 → 抽象命令 → 设备方言'的三段式模型。

7.2 三段式结构

例：工程师想检查接口是否异常。

人类意图（Intent）： check_interface_health(device="core-sw-01", interface="TenGigE0/1")

抽象命令（Vendor-Neutral）： show_interface_counters(device, interface)

最终命令（Vendor-Specific）：

Cisco： show interface TenGigE0/1 | include errors|discard

Huawei： display interface Ten-GigabitEthernet0/1 | include error|discard

抽象层是固定的，而底层'命令方言'可以扩展。

7.3 输出规范化（Parsing）

为了让推理引擎能使用数据，需要将 CLI 输出结构化，例如：

{
  "rx_errors": 1203,
  "tx_errors": 0,
  "rx_drops": 503,
  "speed": "10G",
  "status": "up"
}

解析器一般包括：

正则型（对简单命令） 语法树型（对复杂协议，如 BGP/OSPF） LLM 辅助解析（对低频或不规则输出）

解析器必须可回放、可调试。

7.4 自动验证框架

验证框架用于判断：

命令输出是否支持某个假设

例如：

假设：链路折损 → 预期指标：errors、crc、signal loss

验证逻辑使用 DSL：

rule "link_degradation"
when rx_errors > 100 or loss_signal == true
then mark("link_issue", confidence=0.7)

7.5 三类验证结果（工程上必须区分）

1）支持假设
2）否定假设
3）不确定（常见，但容易被忽视）

不确定意味着需要更多探测，而不是跳结论。

8、执行与安全模型（dry-run、回滚、审批）

自动诊断系统如果不能'安全执行'，那就永远不会进入生产环境。

执行层的设计必须遵守三个原则：
安全、可审计、可回滚。

8.1 执行模式的三阶段

1）dry-run（默认）

只输出将要执行的命令和预期影响：

• 命令列表
• 涉及设备
• 风险评估
• 预期效果

这一步可以让工程师确认是否合理。

2）preview-run（对读操作直接执行，对写操作模拟）

例如 show/bfd/traceroute 可以直接执行。但 shut/no shut、policy push 全部模拟。

3）execute（需显式批准）

必须由人类响应 '执行' 才能进入执行。

8.2 回滚策略（Rollback Strategy）

网络的回滚不存在'撤销命令'这么简单。

真正可靠的回滚主要依赖：

• 配置快照（Pre-Snapshot）
• 事务化推送（Transaction）
• 模拟验证（Post-Check）
• 失败自动还原（Failback）

例如：

1）执行前保存设备 running-config
2）按模块推送
3）验证 BGP/OSPF 邻居变化
4）流量切换是否正常
5）若失败 → 自动恢复至快照

此外，利用设备原生能力 优先使用设备级的 commit confirmed (Juniper/Cisco XR) 或 system rollback 功能，作为最后一道防线，防止因网络中断导致无法下发回滚指令。

8.3 审批机制

执行层必须整合企业 ITSM 工作流，例如：

• 轻量操作（查看指标）自动通过
• 中风险操作（切换链路）需 L2 工程师确认
• 高风险操作（修改 BGP/OSPF）需 L3 或架构师签字

机器人只负责：

• 生成建议
• 生成命令
• 展示风险
• 执行经批准的步骤

这保证自动化不会'跑偏'。

9、测试体系（Test Harness）

诊断系统必须有自己的测试体系，否则效果无法量化，也无法持续迭代。

9.1 三类测试（企业级必备）

1）规则单测（Rule Unit Tests）

验证规则是否按照预期命中。

输入：模拟事件流 输出：候选 root cause、命中规则的路径

2）故障树路径测试（FT Path Tests）

验证：

节点逻辑 AND/OR 关系 置信度传播

输入：模拟异常指标 输出：应命中的节点

3）整体闭环测试（End-to-End）

模拟：

Syslog Telemetry Flow 变更事件 用户输入

测试整条诊断链路。

9.2 用真实事故做训练数据

训练数据来自三个地方：

• 真实事故 RCA
• 仿真环境重放
• 线上影子模式（shadow mode）

影子模式非常关键：

只观察，不执行 比较人类结论与系统推断 不断微调置信度与规则

最终形成一个越来越'像工程师'的系统。

10、审计、回放与证据链（Evidence Chain）

一个成熟的诊断平台必须能回答：

'你是怎么得出这个结论的？'

10.1 证据链结构

证据链是一条有序记录：

1. 时间戳
2. 原始事件
3. 解析后的结构化数据
4. 规则命中
5. 故障树触发路径
6. ML rank 分数
7. 主动探测的命令与返回值
8. 置信度变化
9. 最终修复动作

结构化 JSON 示例：

{
  "event": "packet_loss",
  "candidate": "link_degradation",
  "confidence": 0.86,
  "evidence": [
    {"type": "telemetry", "metric": "rx_errors", "value": 1903},
    {"type": "probe", "cmd": "show interface", "result": {...}},
    {"type": "flow", "change": "path_switch"},
    {"type": "config_diff", "change": "interface shutdown"}
  ]
}

10.2 回放（Replay）

回放用于：

• 事故复盘
• 规则修正
• 培训新人
• 解释 AI 推断路径

系统可以将事故按时间线重新'执行一遍'：

• 逐条事件
• 逐次命中规则
• 逐步提升置信度
• 让故障定位能力可验证、可传承。

11、自动修复（Auto-Remediation）与最小修复集

自动修复不是一开始就上，而是循序渐进：

先诊断 → 再修复 → 再闭环优化。

11.1 自动修复的四级路线

L1：仅诊断，不给建议
L2：给修复建议，不执行
L3：执行低风险修复（重启服务、切换链路）
L4：自动执行复杂修复（此级别需要大量审计与沉淀）

多数企业停留在 L2–L3。

11.2 最小修复集（Minimum Repair Set）

修复的目标不是'把所有可能问题都修'，而是：

找到最小的一组动作，可以恢复网络正常。

这个思想与'最小验证集'类似。

例：

根因是光模块故障。

可能的修复动作：

1）切换链路 2）下电重启接口（尝试恢复） 3）更换光模块 4）下架设备端口

最小修复集 = 1 + 3

（切换链路 + 替换模块）

动作 2 和 4 都属于'附加选项'。

11.3 修复后的验证

自动修复必须具备 strong post-check：

• BGP/OSPF 邻居正常
• 接口统计下降
• 路由不抖动
• 流量恢复路径正常
• 端到端时延降低

只有验证通过，整个闭环才算完成。

12、系统迭代路线（MVP → 生产级）

我在多家企业落地过自动诊断项目，总结出的路线如下。

12.1 MVP（第 1–2 月）

三件事：

1）三类数据：Syslog、Telemetry、Config DB

2）十几个关键故障树（链路、BGP、OSPF、ACL）

3）对话式机器人（只读操作）

MVP 目标不是全覆盖，而是：

10% 的场景，解决 50% 的问题。

12.2 生产级（第 3–6 月）

加入：

Flow 变更日志 因果图模型 主动探测 命令抽象层 影子模式 以及更完整的故障树体系。

12.3 成熟体系（半年以上）

目标：

自动修复闭环 模型持续学习 知识库持续更新 大规模设备统一推理

这时系统才是真正能'随组织成长'的能力。

13、常见失败模式与规避方法

这部分很重要。许多自动诊断项目不是技术失败，而是方法失败。

13.1 过度依赖 AI

如果没有规则、没有故障树，只靠大模型，根据语言模式'猜测 root cause'，必然错得离谱。

规避：

大模型用于解析、排序 决策必须基于结构化知识与因果图

13.2 无法解释

如果系统无法解释决策路径，将永远不被生产团队信任。

规避：

证据链 + 回放系统必须先于模型上线

13.3 采集太多 → 噪声淹没信号

遥测不是越多越好，核心是：

关键指标高频 非关键低频 按需激活 PCAP

否则数据爆炸后推理层失效。

13.4 自动化越级

很多团队试图一步到位做自动修复。

结果是：

风险太大 系统被下线 团队抵触

规避：

从诊断 → 建议 → 低风险自动化 逐步扩大范围

13.5 未与变更系统联动

绝大多数故障与变更有关。

如果不接入变更系统，诊断永远不可能精准。

规避：

诊断系统必须与 CI/CD、变更管理深度集成

结语

现在的网络已经复杂到无法依赖人工排障的程度。协议叠加、策略叠加、遥测爆炸、配置不断变化——工程师脑中的推理路径已经无法实时应对这些信息。真正能解决问题的，是一种新的工程方法论：

把工程师脑中的'经验图谱'结构化、程序化、可审计化，并让 AI 在这个体系上做推理与扩展。

这篇文章给你展示的，是一个可落地、可扩展、可成长的模型：

• 故障树
• 因果网络
• 命令抽象层
• 主动探测
• 对话式机器人
• 审计与回放
• 最小验证集
• 最小修复集
• 安全执行
• 整体闭环

它不是未来，而是现在可以启动的工程。

你只要开始构建前 10 个故障树、接入三类数据源、用对话模型替代传统 CLI 排查方式，那你已经在向'AI 驱动的网络运维体系'迈进。网络工程也许不会被 AI 取代。但不会用 AI 的工程师，会被能用 AI 的工程师取代。

希望用这些文章，把下一代网络能力沉淀成体系——一个真正属于'后人工智能时代网络工程师'的体系。