安全事件日志调查助手

v1.0.0

基于大模型的安全事件日志分析工具，支持快速提取关键信息和深度攻击链细节分析。

⭐ 0· 81·0 current·0 all-time

byTerry S Fisher@43622283

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for 43622283/security-log-analyzer.

Previewing Install & Setup.

Prompt PreviewInstall & Setup

Install the skill "安全事件日志调查助手" (43622283/security-log-analyzer) from ClawHub.
Skill page: https://clawhub.ai/43622283/security-log-analyzer
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install security-log-analyzer

ClawHub CLI

Package manager switcher

npx clawhub@latest install security-log-analyzer

Security Scan

Capability signals

Requires sensitive credentials

These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.

VirusTotal

Benign

View report →

OpenClaw

Suspicious

medium confidence

ℹ

Purpose & Capability

目的与能力基本一致：技能声称使用 LLM 分析安全日志，代码确实实现了将日志发送到一个 OpenAI 兼容的服务 (SiliconFlow) 进行分析。clawhub.yaml 也声明了 SILICONFLOW_* 等环境变量，这与工具功能一致。但顶层注册表元数据宣称“Required env vars: none”，与代码/文档不符——这是元数据不一致，应核实。

Instruction Scope

SKILL.md 指示将 .env.example 复制为 .env 并填写 SILICONFLOW_API_KEY，然后运行 src/analyzer.py；代码会直接读取并将完整日志发送到配置的 LLM API。设计文档提到“敏感信息自动脱敏”和“不持久化存储”，但在源码中未发现自动脱敏或显式持久化/删除逻辑的实现（源码只是截断超长日志并发送），这一点与文档声明不匹配。另外，说明中引用 examples/sample_logs/ 目录，但该目录与 .env.example 在提交的文件清单中缺失，说明文档与包内容不一致。

ℹ

Install Mechanism

没有 install spec（代码随技能一起提供），仅需按 README 安装 requirements.txt 中的 Python 包（openai, python-dotenv, tiktoken）。无远程二进制下载或不信任 URL，风险较低。但 SKILL.md 中的安装路径示例使用了 /root/.openclaw/skills/...（硬编码路径示例），可能与用户环境不匹配。

ℹ

Credentials

代码仅需要外部 LLM API 凭证（SILICONFLOW_API_KEY 和可选的 SILICONFLOW_BASE_URL/SILICONFLOW_MODEL/API_RATE_LIMIT），这与技能功能相称。不过：1) 注册表元数据最初列为“无所需 env”，与代码/文档矛盾；2) analyzer.py 使用了 MAX_LOG_TOKENS 环境变量但该变量未在文档或 clawhub.yaml 中声明；3) 将原始日志（可能含敏感数据）发送给第三方 LLM 是设计上必然的隐私/泄露风险，用户须谨慎。

✓

Persistence & Privilege

技能未请求常驻权限（always=false），也不修改其他技能或系统配置。代码没有显式将日志写入持久存储（设计文档声明“不持久化存储”且源码未见写盘操作），但会把日志传输到外部 API。agent 自动调用默认未禁用（正常），但与其它风险点结合时应注意潜在的自动化数据外传。

What to consider before installing

要点与建议： - 核实来源：该技能作者与主页未提供可信来源，先确认发布者可信性再使用。 - API Key 风险：技能会将日志原文发送到外部 LLM（SiliconFlow）；不要在未审查或生产环境中直接提交未脱敏的敏感日志。考虑先用脱敏/合成日志或在隔离环境中测试。 - 检查不一致项：注册表元数据显示“无所需 env”，但代码/文档需要 SILICONFLOW_API_KEY 等环境变量；.env.example 与 examples/sample_logs 在提交包中缺失——请求补全或说明。 - 验证“脱敏/不持久化”声明：设计文档提到自动脱敏和不持久化，但源码中未找到脱敏实现；如果你依赖这一保证，要求作者提供或实现脱敏逻辑并写入代码审计证据。 - 可行的防护措施：在受控/离线环境运行，或将 network access 限制为仅允许访问你信任的 endpoint；用测试/脱敏日志验证输出；审阅源码（已包含）以确认无隐藏回呼或外部端点。 - 若你无法确定服务可信度，优先选择本地/离线分析工具或自行托管的 LLM。

Like a lobster shell, security has layers — review code before you run it.

latestvk97a4rqkewwqks7tctr515djzn85ada3

81downloads

0stars

1versions

Updated 5d ago

v1.0.0

MIT-0

安全事件日志调查助手

功能说明

基于 LLM 的安全事件日志分析工具，支持简要分析和详细分析两种模式。

安装

cd /root/.openclaw/skills/security-log-analyzer
pip install -r requirements.txt
cp .env.example .env
# 编辑.env 文件，填写 API Key

配置

编辑 .env 文件：

SILICONFLOW_API_KEY=sk-your-api-key-here
SILICONFLOW_BASE_URL=https://api.siliconflow.cn/v1
SILICONFLOW_MODEL=Qwen/Qwen3-8B
API_RATE_LIMIT=2

使用方法

方式 1: 交互模式

cd /root/.openclaw/skills/security-log-analyzer
python src/analyzer.py

方式 2: 文件模式

python src/analyzer.py /path/to/log.txt brief   # 简要分析
python src/analyzer.py /path/to/log.txt detailed # 详细分析

分析模式

简要分析：快速提取关键信息（威胁等级、事件类型、建议行动）
详细分析：深度分析攻击链、IOC 指标、缓解建议

限流保护

默认请求间隔：2 秒
429 错误自动重试（等待 10 秒）
单条日志超过 4000 token 自动截断

示例日志

查看 examples/sample_logs/ 目录中的示例日志文件。

输出示例

## 事件概览
- 事件类型：SSH 暴力破解
- 威胁等级：中
- 时间范围：2026-04-22 20:00 - 21:30

## 关键发现
- 来自同一 IP 的 150+ 次失败登录尝试
- 目标账号：root, admin, ubuntu

## IOC 指标
- IP: 192.168.1.100

## 建议行动
1. 封禁源 IP
2. 启用 fail2ban
3. 配置 SSH 密钥认证

Comments

Loading comments...