首页 / 技能 / 安全事件日志调查助手基于大模型的安全事件日志分析工具,支持快速提取关键信息和深度攻击链细节分析。 — 安全事件日志调查助手:基于大模型的安全事件日志分析工具,支持快速提取关键信息与深度攻击链细节分析。

📦 安全事件日志调查助手基于大模型的安全事件日志分析工具,支持快速提取关键信息和深度攻击链细节分析。 — 安全事件日志调查助手:基于大模型的安全事件日志分析工具,支持快速提取关键信息与深度攻击链细节分析。

v1.0.0

55分钟前

0· 44·0 当前·0 累计
43622283 头像by @43622283 (Terry S Fisher)
生产力工具
下载技能包
最后更新
2026/4/22
0
安全扫描
VirusTotal
无害
查看报告
OpenClaw
可疑
medium confidence
该技能总体是一个基于外部 LLM 的日志分析工具,功能与目标一致,但元数据、文档与实现存在不一致(缺少 .env.example / 示例日志,注册表声明与代码所需环境变量不符),且会将原始日志发送至外部 LLM 服务——在提供 API Key 或敏感日志前需额外审查。
评估建议
要点与建议: - 核实来源:技能作者与主页未提供可信来源,先确认发布者可信性再使用。 - API Key 风险:技能会将日志原文发送到外部 LLM(SiliconFlow);不要在未审查或生产环境中直接提交未脱敏的敏感日志。考虑先用脱敏/合成日志或在隔离环境中测试。 - 检查不一致项:注册表元数据显示“无所需 env”,但代码/文档需要 SILICONFLOW_API_KEY 等环境变量;.env.example 与 examples/sample_logs 在提交包中缺失——请求补全或说明。 - 验证“脱敏/不持久化”声明:设计文档提到自动脱敏和不持久化,但源码中未找到脱敏实现;如果你依赖这一保证,要求作者提供或实现脱敏逻辑并写入代码审计证据。 - 可行的防护措施:在受控/离线环境运行,或将 network access 限制为仅允许访问你信任的 endpoint;用测试/脱敏日志验证输出;审阅源码(已包含)以确认无隐藏回呼或外部端点。 - 若你无法确定服务可信度,优先选择本地/离线分析工具或自行托管的 LLM。
详细分析 ▾
用途与能力
目的与能力基本一致:技能声称使用 LLM 分析安全日志,代码确实实现了将日志发送到一个 OpenAI 兼容的服务 (SiliconFlow) 进行分析。clawhub.yaml 也声明了 SILICONFLOW_* 等环境变量,这与工具功能一致。但顶层注册表元数据宣称“Required env vars: none”,与代码/文档不符——这是元数据不一致,应核实。
指令范围
SKILL.md 指示将 .env.example 复制为 .env 并填写 SILICONFLOW_API_KEY,然后运行 src/analyzer.py;代码会直接读取并将完整日志发送到配置的 LLM API。设计文档提到“敏感信息自动脱敏”和“不持久化存储”,但在源码中未发现自动脱敏或显式持久化/删除逻辑的实现(源码只是截断超长日志并发送),这一点与文档声明不匹配。另外,说明中引用 examples/sample_logs/ 目录,但该目录与 .env.example 在提交的文件清单中缺失,说明文档与包内容不一致。
安装机制
无 install spec(代码随技能提供),只需按 README 安装 requirements.txt 中的 Python 包(openai、python-dotenv、tiktoken)。无远程二进制下载或不可信 URL,风险低。但 SKILL.md 的安装路径示例使用 /root/.openclaw/skills/...(硬编码),可能与用户环境不符。
凭证需求
代码仅需外部 LLM API 凭证(SILICONFLOW_API_KEY 及可选的 SILICONFLOW_BASE_URL/SILICONFLOW_MODEL/API_RATE_LIMIT),与技能功能相符。然而:1) 注册表元数据最初标注“无所需 env”,与代码/文档矛盾;2) analyzer.py 使用了 MAX_LOG_TOKENS 环境变量,但该变量未在文档或 clawhub.yaml 中声明;3) 将原始日志(可能含敏感数据)发送给第三方 LLM 是设计上的必然隐私/泄露风险,用户须谨慎。
持久化与权限
技能未请求常驻权限(always=false),也不修改其他技能或系统配置。代码没有显式将日志写入持久存储(设计文档声明“不持久化存储”且源码未见写盘操作),但会把日志传输到外部 API。agent 自动调用默认未禁用(正常),但与其它风险点结合时应注意潜在的自动化数据外传。
安全有层次,运行前请审查代码。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/4/22

初始版本 - 支持简要/详细分析模式,集成 SiliconFlow API,内置限流保护

无害

安装命令

点击复制
官方npx clawhub@latest install security-log-analyzer
镜像加速npx clawhub@latest install security-log-analyzer --registry https://cn.longxiaskill.com

技能文档

功能说明

基于 LLM 的安全事件日志分析工具,支持简要分析和详细分析两种模式。

安装

``bash cd /root/.openclaw/skills/security-log-analyzer pip install -r requirements.txt cp .env.example .env # 编辑 .env 文件,填写 API Key `

配置

编辑 .env 文件: `bash SILICONFLOW_API_KEY=sk-your-api-key-here SILICONFLOW_BASE_URL=https://api.siliconflow.cn/v1 SILICONFLOW_MODEL=Qwen/Qwen3-8B API_RATE_LIMIT=2 `

使用方法

方式 1:交互模式

`bash cd /root/.openclaw/skills/security-log-analyzer python src/analyzer.py `

方式 2:文件模式

`bash python src/analyzer.py /path/to/log.txt brief # 简要分析 python src/analyzer.py /path/to/log.txt detailed # 详细分析 `

分析模式

  • 简要分析:快速提取关键信息(威胁等级、事件类型、建议行动)
  • 详细分析:深度分析攻击链、IOC 指标、缓解建议

限流保护

  • 默认请求间隔:2 秒
  • 429 错误自动重试(等待 10 秒)
  • 单条日志超过 4000 token 自动截断

示例日志

查看 examples/sample_logs/ 目录中的示例日志文件。

输出示例

`markdown

事件概览

  • 事件类型:SSH 暴力破解
  • 威胁等级:中
  • 时间范围:2026-04-22 20:00 - 21:30

关键发现

  • 来自同一 IP 的 150+ 次失败登录尝试
  • 目标账号:root, admin, ubuntu

IOC 指标

  • IP: 192.168.1.100

建议行动

  • 封禁源 IP
  • 启用 fail2ban
  • 配置 SSH 密钥认证
``

数据来源ClawHub ↗ · 中文优化:龙虾技能库