anjanjaa/siglens

# siglens 基于 LLM 的解释层，可将警报和事件转换为结构化的、可操作的输出，用于事件响应。 通过 FastAPI 服务公开的最小可行实现。 ## 组件 - FastAPI 摄取端点 - 基于 LLM 的解释层 - 结构化输出接口 (JSON) - 最小单警报分析管道 ## 背景 监控系统负责检测异常，但将解释工作留给了操作人员。 在高容量环境中，警报通常缺乏上下文、优先级和明确的可操作性。 这在检测和响应之间造成了差距。 解释层位于检测和响应之间，将可观测性数据转换为可操作的结构化输出。 它降低了认知负担，并实现了一致的处理。 可观测性数据 → 解释 → 响应 ## 流程 ``` [ Observability Systems ]  (alerts, metrics, events)          ↓  [ SigLens ]  (LLM-based implementation)          ↓  structured JSON output          ↓  [ Downstream Systems ]  (incident response, routing, dashboards) ``` ## 功能 给定一个警报事件，SigLens 会： - 总结事件 - 评估严重级别 - 推测可能的根本原因 - 建议操作措施 所有输出均以结构化 JSON 格式返回，以便集成到下游系统中。 ## 示例 从原始警报到结构化输出的转换示例： ### 输入警报 ``` { "alert_name": "HighLatency", "service": "satellite-gateway-1", "value": 320, "threshold": 200 } ``` ### 输出分析 ``` { "summary": "Latency spike detected exceeding threshold.", "severity": "high", "likely_cause": "Network congestion or degraded signal quality", "recommended_actions": [ "Check bandwidth usage", "Inspect signal quality", "Review recent deployments", ] } ``` ## 架构 - 用于警报摄取的 FastAPI 服务 - 基于 LLM 的解释引擎 - 结构化 JSON 输出验证 - 专为与 Prometheus 和 Alertmanager 等可观测性系统集成而设计 ## 模型层 SigLens 的设计旨在实现与提供商无关的 LLM 集成。 第一个版本专注于单警报分析。计划的扩展包括： - OpenAI / Claude 提供商支持 - 模型比较 - 降级策略 - 独立于提供商的路由 ## 技术栈 - Python - FastAPI - Pydantic - OpenAI API - Anthropic Claude API ## 当前状态 专注于通过 FastAPI 接口进行单警报分析的最小可用 v0 版本。 ## 未来扩展 - 使用 embeddings 进行警报聚类 - 多警报关联 - 跨警报模式的漂移检测 - Slack/事件工具集成 - 使用历史警报进行上下文感知分析 (RAG) - 模型降级策略

标签：API集成, AV绕过, DevSecOps, DLL 劫持, FastAPI, JSON, LLM, Petitpotam, Python, Unmanaged PE, 上游代理, 事件分类, 事件摘要, 可观测性, 告警优先级, 告警分析, 告警分诊, 告警降噪, 大语言模型, 安全事件响应, 安全辅助, 安全运营, 异常检测, 扫描框架, 无后门, 根因分析, 结构化输出, 网络安全, 自动化响应, 认知负荷降低, 逆向工具, 隐私保护