监控

security-scan 技能会使用 AgentShield 审计你的 Claude Code `.claude/` 配置，检查密钥泄露、风险较高的 MCP 配置、容易被注入的指令、危险的绕过标志，以及薄弱的 agent 或 hook 定义。适合在提交前或接入前进行可重复的安全检查。

canary-watch 是一款发布后监控技能，用于在上线、合并或依赖更新后，对线上 URL 进行回归检查，适用于 staging 或 production 场景。

canary 是一款发布后监控技能，用于盯住线上应用中的控制台错误、页面故障和性能回退。它会将当前表现与发布前基线进行对比，帮助你验证版本、及时发现页面损坏，并比通用提示词更少猜测地识别可见异常。

python-observability 可帮助你为 Python 服务接入结构化日志、指标、链路追踪、correlation ID 以及有界基数模式，用于生产环境排障，并更稳妥地推进可观测性落地。

grafana-dashboards 可帮助智能体为可观测性场景设计生产可用的 Grafana 仪表板。你可以用它规划基于 RED 和 USE 方法的布局、确定面板层级，并为 Prometheus 风格指标起草仪表板结构。

prometheus-configuration 帮助你在 Kubernetes、Docker Compose 和服务器环境中安装并使用 Prometheus，完成抓取配置、数据保留、告警以及 recording rules 设置。

使用 slo-implementation 来定义面向 Reliability 工作的 SLI、SLO、错误预算和 burn-rate 告警。它可帮助团队把服务目标转化为可衡量的指标，并结合类似 PromQL 的示例与来自 SKILL.md 的实用指导推进落地。

使用 distributed-tracing 技能，在 Jaeger 和 Tempo 环境中设计并讲解微服务间的请求追踪方案。内容涵盖安装基础、trace 与 span 概念、Kubernetes 部署模式、上下文传播，以及面向可观测性与延迟排障的实用用法。

appinsights-instrumentation 用于为托管在 Azure 上的 Web 应用接入 Application Insights。它涵盖 App Service 自动插桩，以及 ASP.NET Core 和 Node.js 的手动配置，包括 connection string 与 IaC 更新。

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录，以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。

“detecting-network-anomalies-with-zeek” skill 可帮助你部署 Zeek 进行被动网络监控、查看结构化日志，并构建自定义检测来识别 beaconing、DNS 隧道和异常协议活动。它适用于威胁狩猎、事件响应、面向 SIEM 的网络元数据以及安全审计工作流——但不适合做链路内防护。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

configuring-host-based-intrusion-detection 指南：使用 Wazuh、OSSEC 或 AIDE 搭建 HIDS，用于监控文件完整性、系统变更，以及面向合规的终端安全，适配 Security Audit 工作流。

用于查询 Azure Monitor 活动日志和登录日志、发现可疑管理员操作、异地不可能登录、权限提升和资源篡改的 analyzing-azure-activity-logs-for-threats 技能。面向事件初筛，提供 KQL 模式、执行路径和实用的 Azure 日志表使用指南。

azure-monitor-opentelemetry-ts 可帮助你用 Azure Monitor 和 OpenTelemetry 为 Node.js 应用接入分布式追踪、指标和日志。使用这个 azure-monitor-opentelemetry-ts skill 来安装包、设置 `APPLICATIONINSIGHTS_CONNECTION_STRING`，并按正确的启动顺序完成自动埋点配置。

azure-monitor-opentelemetry-py 是面向 Python 的 Azure Monitor OpenTelemetry 分发包。适合用于一行式 Application Insights 配置、自动埋点，以及以最少的应用代码改动接入实用的 Azure Monitor 遥测。

alert-manager 技能可帮助团队为排名下滑、流量异常、技术问题、竞品变化以及 AI 可见性波动设计 SEO 与 GEO 告警框架，提供阈值指南和可复用模板，便于更系统地规划监控与响应。

detecting-container-escape-with-falco-rules 帮助使用 Falco 运行时安全规则检测容器逃逸尝试。它聚焦 syscall 信号、特权容器、host-path 滥用、验证以及 Kubernetes 和 Linux 容器环境中的事件响应工作流。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-arp-poisoning-in-network-traffic 可帮助你使用 ARPWatch、Dynamic ARP Inspection、Wireshark 和 Python 检查，在实时流量或 PCAP 中检测 ARP 欺骗。适用于事件响应、SOC 分诊，以及对 IP 到 MAC 变化、免费 ARP 和 MITM 指标的可重复分析。

detecting-cryptomining-in-cloud 帮助安全团队通过关联成本激增、挖矿端口流量、GuardDuty 加密挖矿告警和运行时进程证据，发现云工作负载中的未授权加密挖矿。适用于分诊、检测工程，以及 Security Audit 工作流中的 detecting-cryptomining-in-cloud。

detecting-container-escape-attempts 用于在 Docker 和 Kubernetes 中排查、检测并分流容器逃逸信号。可将这份 detecting-container-escape-attempts 指南用于事件初步研判、逃逸向量分析、告警解读，以及基于 Falco、Sysdig、auditd 和容器检查证据的响应流程。

detecting-attacks-on-historian-servers 可帮助检测 IT/OT 边界上 OSIsoft PI、Ignition 和 Wonderware 等 OT historian 服务器的可疑活动。可将这份 detecting-attacks-on-historian-servers 指南用于事件响应、未授权查询、数据篡改、API 滥用以及横向移动分流。