Site icon

Grafana MCP : interroger Prometheus avec une IA sans ouvrir l’accès admin

Loupio
Grafana MCP sécurisé pour interroger Prometheus avec une IA

Un agent IA interroge Grafana via MCP pour analyser Prometheus, avec un accès contrôlé et limité à la lecture.

Grafana MCP · Prometheus MCP · Monitoring IA

Grafana MCP : interroger Prometheus avec une IA sans ouvrir l’accès admin

Brancher un agent IA sur le monitoring peut être utile : résumer une alerte, retrouver une métrique, comparer deux fenêtres temporelles, expliquer une hausse de latence. Mais un Grafana MCP ou un Prometheus MCP mal cadré peut aussi exposer trop de données ou donner trop de pouvoir. Voici une approche DevOps pragmatique pour exploiter MCP côté supervision Linux sans transformer l’agent en administrateur Grafana.

Monitoring IA contrôléGrafana · Prometheus · MCPAccès en lecture seule
Grafana MCP sécurisé pour interroger Prometheus avec une IA
Un agent IA interroge Grafana via MCP pour analyser Prometheus, avec un accès contrôlé et limité à la lecture.
À retenir #1

MCP doit servir à interroger le monitoring, pas à donner un accès admin à Grafana.

À retenir #2

Le serveur officiel grafana/mcp-grafana expose dashboards, datasources, Prometheus, Loki et alerting selon les outils activés.

À retenir #3

La bonne limite : token de service dédié, droits minimaux, outils dangereux désactivés, requêtes PromQL bornées.

Pourquoi connecter Grafana à MCP ?

Grafana sait déjà interroger Prometheus, Loki, CloudWatch ou Elasticsearch. MCP ajoute une couche conversationnelle : un agent compatible peut demander “quels services consomment le plus de CPU depuis 30 minutes ?”, “quelle alerte est passée firing ?” ou “résume ce dashboard sans me renvoyer tout le JSON”.

Le dépôt officiel grafana/mcp-grafana décrit un serveur MCP pour Grafana donnant accès à l’instance Grafana et à son écosystème. Il liste notamment la recherche de dashboards, les datasources, les requêtes Prometheus, Loki, alerting et certains outils désactivés par défaut.

Positionnement Linux-Man : ce n’est pas un gadget. Bien cadré, Grafana MCP peut accélérer le diagnostic N1/N2, préparer un runbook, ou aider un référent infra à comprendre un incident sans donner les clés de production à un agent IA.

Architecture recommandée

Agent IAClaude, Cursor, Codex…
Client MCPstdio ou HTTP
mcp-grafanaserveur MCP
Grafanatoken read-only
Prometheusmétriques Linux

Le point important : l’agent ne parle pas directement à Prometheus. Il passe par un serveur MCP, lui-même authentifié auprès de Grafana avec un compte de service limité. Grafana reste le point d’accès aux datasources, donc tu conserves les permissions, les dashboards et les pratiques déjà en place.

Prometheus expose aussi une API HTTP stable sous /api/v1. Elle permet les requêtes instantanées /api/v1/query et range /api/v1/query_range. Pour un serveur MCP, cette API est puissante, mais elle doit être bornée : timeouts, limites de séries, requêtes autorisées et plage temporelle maximale.

Mini-lab : tester Grafana MCP en lecture seule

Pré-requis

  • Grafana 9+ avec datasource Prometheus configurée.
  • Un token de service Grafana dédié avec droits de lecture uniquement.
  • Un client MCP compatible : Claude Desktop, Cursor, Codex ou équivalent.
  • Un environnement de test, pas une prod client au premier essai.

Configuration MCP client

Le README officiel propose un lancement via uvx mcp-grafana. Exemple de configuration à adapter :

{
  "mcpServers": {
    "grafana": {
      "command": "uvx",
      "args": ["mcp-grafana"],
      "env": {
        "GRAFANA_URL": "https://grafana.example.net",
        "GRAFANA_SERVICE_ACCOUNT_TOKEN": "<token-read-only>"
      }
    }
  }
}
Attention : ne colle pas un token administrateur. Crée un compte de service dédié, limite le scope et documente à quoi il sert.

Prompts de test

Liste les datasources Grafana disponibles et identifie celle de type Prometheus.

Résume les dashboards liés à Linux, CPU, mémoire ou disque sans extraire le JSON complet.

Sur la datasource Prometheus, propose une requête PromQL read-only pour voir la charge CPU moyenne sur 15 minutes.

Explique cette alerte Grafana en langage opérationnel et propose 3 vérifications non destructives.

Résultat attendu

L’agent doit pouvoir retrouver les datasources, lire des dashboards, proposer ou exécuter des requêtes Prometheus selon les outils activés, puis résumer les résultats. Il ne doit pas modifier un dashboard, créer une alerte ou manipuler des utilisateurs si ce n’est pas explicitement prévu.

Vérification

# Vérifier côté Grafana que le token utilisé est dédié
# et que ses droits restent limités à la lecture.

# Vérifier côté Prometheus qu'une requête bornée fonctionne :
curl -G 'https://prometheus.example.net/api/v1/query' \
  --data-urlencode 'query=up' \
  --data-urlencode 'limit=20'

Rollback

# 1. Désactiver le serveur MCP côté client
# 2. Révoquer le token de service Grafana
# 3. Vérifier qu'aucune configuration sensible n'a été exposée dans les logs
# 4. Supprimer la configuration MCP locale si le test est abandonné

Sécurité : les limites à poser avant la mise en prod

  • Token dédié : jamais de compte personnel ni d’admin global.
  • Outils activés au minimum : certains outils Grafana MCP sont désactivés par défaut ; garder cette logique et n’activer que ce qui est utile.
  • Requêtes PromQL bornées : limiter plage temporelle, volume de séries, timeout et cardinalité.
  • Pas de secrets dans les réponses : vérifier dashboards, variables, annotations et labels sensibles.
  • Journalisation : tracer quel client MCP interroge quoi, surtout si le serveur est partagé.

Pour aller plus loin côté architecture MCP, l’article Connecter Claude Code, Cursor ou Codex à une infra Linux avec MCP détaille le lien côté agents. Pour construire un serveur Python interne, voir aussi MCP Python avec FastMCP.

Erreurs fréquentes

Token trop large

Le test marche, mais l’agent peut lire ou modifier trop de choses. Repartir d’un token minimal.

Dashboard complet dans le contexte

Un gros JSON de dashboard sature vite le contexte. Préférer les résumés et propriétés ciblées.

PromQL non borné

Une requête trop large peut coûter cher côté Prometheus. Imposer des limites.

FAQ — Grafana MCP et Prometheus MCP

Grafana MCP remplace-t-il Prometheus ?

Non. Prometheus collecte et expose les métriques. Grafana les visualise et les interroge. MCP ajoute une interface standard pour qu’un agent IA puisse demander des informations à Grafana ou à ses datasources.

Faut-il connecter l’IA directement à Prometheus ?

Pas forcément. Passer par Grafana est souvent plus propre si les datasources, dashboards et permissions sont déjà structurés. Une connexion directe Prometheus MCP peut être utile, mais elle demande un cadrage strict.

Quels outils Grafana MCP activer ?

Commencer par la lecture : liste des datasources, recherche de dashboards, résumé de dashboards, requêtes Prometheus bornées. Éviter les outils de création, modification ou admin tant que le besoin n’est pas clair.

Peut-on l’utiliser en production ?

Oui, mais seulement avec token dédié, droits minimaux, journalisation et tests en environnement isolé. La première version doit rester read-only.

Quel est le meilleur cas d’usage Linux-Man ?

Diagnostic supervisé : résumer une alerte, identifier une métrique anormale, préparer une checklist d’incident, ou assister un référent infra sans lui demander d’ouvrir dix dashboards.

Besoin de cadrer MCP sur ton monitoring ?

Linux-Man peut t’aider à connecter MCP à Grafana, Prometheus ou Loki sans exposer inutilement ta supervision : architecture, droits, runbooks, tests et garde-fous.

Demander un cadrage Grafana MCP


Quitter la version mobile