Logs

analyzing-security-logs-with-splunk 通过将 Windows、防火墙、代理和身份验证日志关联成时间线与证据，帮助在 Splunk 中调查安全事件。这份 analyzing-security-logs-with-splunk skill 是面向安全审计、事件响应和威胁狩猎的实用指南。

analyzing-cloud-storage-access-patterns 帮助安全团队在 AWS S3、GCS 和 Azure Blob Storage 中发现可疑的云存储访问行为。它会分析审计日志，识别批量下载、新来源 IP、异常 API 调用、桶枚举、非工作时间访问，以及基于基线和异常检测发现的潜在数据外传。

用于查询 Azure Monitor 活动日志和登录日志、发现可疑管理员操作、异地不可能登录、权限提升和资源篡改的 analyzing-azure-activity-logs-for-threats 技能。面向事件初筛，提供 KQL 模式、执行路径和实用的 Azure 日志表使用指南。

analyzing-api-gateway-access-logs 可帮助解析 API Gateway 访问日志，识别 BOLA/IDOR、限流绕过、凭证扫描和注入尝试。它基于 pandas 分析，面向 AWS API Gateway、Kong 和 Nginx 风格日志，适用于 SOC 分诊、威胁狩猎和 Security Audit 工作流。

azure-monitor-query-py 帮助 Python 开发者使用 azure-monitor-query 查询 Azure Monitor 的日志和指标。适用于 Log Analytics 工作区、Azure 资源指标、后端监控、诊断和可观测性自动化；当你已经有 workspace IDs、resource URIs 和 Azure 凭据时，它最适合用于 azure-monitor-query-py 技能。

使用 detecting-sql-injection-via-waf-logs 分析 WAF 和审计日志，识别 SQL 注入攻击活动。它面向 Security Audit 和 SOC 工作流，可解析 ModSecurity、AWS WAF 和 Cloudflare 事件，分类 UNION SELECT、OR 1=1、SLEEP() 和 BENCHMARK() 等模式，关联来源并输出面向事件处置的发现结果。

detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为，包括清除日志、时间戳回溯（timestomping）、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛，可结合 Sysmon、Windows Security 或 EDR 遥测使用。

analyzing-web-server-logs-for-intrusion 技能会解析 Apache 和 Nginx 访问日志，用于检测 SQL 注入、本地文件包含、目录穿越、扫描器指纹、暴力破解突发行为以及异常请求模式。适合用于入侵排查、威胁狩猎和 Security Audit 工作流，并支持 GeoIP 富化与基于特征的检测。

analyzing-tls-certificate-transparency-logs 这个技能帮助安全团队使用 crt.sh、pycrtsh 及相关数据源查询证书透明度（Certificate Transparency, CT）数据，发现可疑 TLS 证书、相似域名、错拼域名和未授权签发。它为威胁狩猎、品牌保护和证书监控提供实用工作流与相似度检查。

analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104（来自 EVTX 文件），重建被拆分的脚本块，并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试，适合安全审计工作。

analyzing-linux-audit-logs-for-intrusion 是一项面向 Linux 事件响应的 auditd 审查 skill，可帮助你通过 ausearch、aureport 和 auditctl 发现可疑登录、提权、文件篡改以及主机入侵证据。

analyzing-kubernetes-audit-logs 是一项 Kubernetes 安全分析技能，可将 API server 审计日志转化为可执行的调查结论。可用于排查对 Pod 的 exec、secret 访问、RBAC 变更、特权工作负载以及匿名 API 访问，也可基于 JSON Lines 审计数据构建检测规则和分诊摘要。

analyzing-docker-container-forensics 可通过分析 Docker 容器的镜像、层、卷、日志和运行时工件，协助调查已被入侵的容器，识别恶意活动并保全证据。适用于安全审计、事件复盘或容器加固评估。

analyzing-dns-logs-for-exfiltration 可帮助 SOC 分析师从 SIEM 或 Zeek 日志中发现 DNS 隧道、DGA 类域名、TXT 滥用和隐蔽 C2 模式。适用于 Security Audit 流程，尤其是在需要熵分析、查询量异常识别和实用分流建议时。

sentry skill 是一款只读的 Observability 工具，可用于查看 Sentry 的 issue、event 和 health 信号。你可以用它排查最近的生产错误、汇总影响范围，并通过结构化输出运行可重复的基于 CLI 的查询。它最适合需要一份实用的 sentry 分诊指南，而不是全面可观测性总览的场景。

azure-monitor-opentelemetry-exporter-py 可帮助你将 Python 的底层 OpenTelemetry 导出配置到 Azure Monitor 和 Application Insights。适用于需要自定义可观测性管道、并直接控制 traces、metrics 和 logs 的场景，而不是更高层的自动埋点发行版。