Son las 2 de la madrugada. Suena PagerDuty. Algo falla en el servicio de pagos. Abres el explorador de logs y te quedas mirando la barra de consulta. Es service:payment o @service:payment. La negación usa NOT o -. ¿Cuál era la facet para fallos de autenticación otra vez. Los logs tienen la respuesta pero la sintaxis es el cuello de botella. Si esto te suena familiar este artículo es para ti.

En Q2BSTUDIO, empresa especializada en desarrollo de aplicaciones a medida y software a medida, hemos tenido que resolver este tipo de problemas construyendo interfaces que traducen lenguaje natural a consultas válidas para Log Search de Datadog. Además de mejorar la productividad, estas herramientas reducen el tiempo de resolución en incidentes, y encajan con nuestros servicios de inteligencia artificial y soluciones cloud. Si te interesa integrar capacidades de IA en tu organización puedes ver más sobre nuestros servicios de inteligencia artificial en servicios de IA para empresas y sobre despliegues en nube en servicios cloud AWS y Azure.

Antes de construir cualquier traductor automático, conviene comprender los puntos donde la sintaxis de Log Search suele tropezar a los equipos. Estas son las reglas y trampas que más aparecen en incidentes reales.

La regla del prefijo @ Este es el motivo más recurrente de confusión. La regla es sencilla pero se olvida fácil: atributos reservados no llevan @. Ejemplos de campos centrales que Datadog expone sin @ son service:payment-service status:error host:web-server-01 En cambio, facetas personalizadas y atributos indexados sí requieren @, por ejemplo @http.status_code:500 @duration:>2000000000 @error.message:*timeout* Si te equivocas y pones @ donde no toca la consulta no devuelve error, devuelve resultados vacíos, lo que en un incidente es tremendamente frustrante.

Duración en nanosegundos Otro error habitual es asumir segundos o milisegundos. Datadog guarda duraciones en nanosegundos. Para filtrar solicitudes de más de 2 segundos debes usar @duration:>2000000000 Un cero de menos te deja en 200 ms, uno de más en 20 s. En mitad de una investigación ese tipo de fallos consume tiempo valioso.

Facetas de seguridad poco intuitivas Si trabajas con Cloud SIEM o logs de auditoría te encontrarás con facetas como @evt.name:authentication @evt.outcome:failure @network.client.geoip.country_name:* Es poco probable que todos los ingenieros memoricen estos nombres de atributo, pero son exactamente las consultas que necesitas para investigar actividad sospechosa cuando la rapidez importa.

Cuando enseñamos a un modelo de lenguaje estas reglas el principal problema es que los modelos han visto ejemplos de Datadog en el entrenamiento pero no lo suficiente como para ser fiables. Generan sintaxis verosímil pero sutilmente incorrecta. La solución es un prompt de sistema explícito que indique patrones exactos y lo que no se debe hacer: listar atributos reservados sin @, indicar que las facetas requieren @ y resaltar la unidad de duración en nanosegundos. También incluir ejemplos claros de seguridad como @evt.outcome:failure o NOT @network.client.ip:10.*

Sin embargo un prompt estático no cubre todo el ecosistema de Datadog. La forma más robusta de cerrar la brecha es usar generación aumentada con recuperación de documentación, es decir RAG. Indexamos la documentación y las páginas de integración relevantes y recuperamos pasajes concretos en tiempo de consulta. Si el usuario pregunta por fallos de autenticación recuperamos la documentación de Cloud SIEM; si pregunta por CloudTrail recuperamos las páginas de la integración AWS.

Hay una sutileza en la recuperación: la búsqueda semántica con embeddings denso encuentra contenido conceptualmente similar, por ejemplo failed login y authentication failure. Eso ayuda. Pero falla cuando necesitas coincidir con la sintaxis exacta, como @evt.outcome. La solución híbrida combina embeddings densos con búsquedas basadas en palabras clave o sparse embeddings. Al fusionar los resultados con Reciprocal Rank Fusion suben a la cima documentos que coinciden conceptualmente y que además contienen la sintaxis literal, cubriendo esos casos límite que rompen prompts estáticos.

Más allá de generar consultas, explicar la consulta generada es igual de valioso. Si heredas un dashboard con una consulta como @evt.name:authentication @evt.outcome:failure NOT @network.client.ip:10.* NOT @network.client.ip:192.168.* poder preguntar qué hace y obtener una respuesta del tipo intentos de autenticación fallidos desde IPs fuera de tus rangos internos acelera la comprensión. Recomendamos empezar por la explicación y, una vez que el resultado es fiable, usar la generación para crear nuevas consultas.

Ejemplos prácticos de entradas y salidas en lenguaje natural:

Errores del servicio de pagos => service:payment-service status:error

Solicitudes lentas superiores a 2 segundos => @duration:>2000000000

Intentos de acceso fallidos desde IPs externas => @evt.name:authentication @evt.outcome:failure NOT @network.client.ip:10.* NOT @network.client.ip:192.168.*

En Q2BSTUDIO integramos estos principios en soluciones a medida que combinan inteligencia artificial, ciberseguridad y despliegues en la nube. Si necesitas una herramienta que traduzca lenguaje natural a consultas precisas en Datadog, o quieres un proyecto de software a medida que incorpore agentes IA, servicios de automatización o paneles de inteligencia de negocio con Power BI, podemos ayudarte. Nuestros servicios cubren desde auditoría de seguridad y pentesting hasta desarrollos personalizados y migraciones a servicios cloud AWS y Azure, siempre con foco en resultados medibles y prioridades de negocio.

Para proyectos que requieren consultas seguras y fiables sobre logs la clave no es solo el modelo, sino codificar las reglas críticas como la ausencia del prefijo @ en atributos reservados, la unidad de duración en nanosegundos y las facetas de seguridad, y complementar todo con recuperación documental híbrida. Esa combinación es la que hace que una interfaz de lenguaje natural para búsqueda de registros pase de elegante a indispensable en operaciones y respuesta a incidentes.

Si quieres que diseñemos una solución a medida para tu equipo o explorar cómo integrar agentes IA y power bi en tus procesos, contacta con Q2BSTUDIO para llevar observabilidad, inteligencia artificial y seguridad al siguiente nivel.