ishayvilroel/superman-splunk

# 🦸 Superman Splunk 技能 [](https://opensource.org/licenses/MIT) [](https://github.com/ishayvilroel/superman-splunk) [](https://github.com/ishayvilroel/superman-splunk) [](https://github.com/ishayvilroel/superman-splunk) ## 这是什么？ **Superman Splunk** 是一个 [AI 技能](https://github.com/superpowers-ai/superpowers) —— 一个结构化的知识文件，当您在 AI 编程助手（Claude Code、GitHub Copilot CLI、Gemini CLI 或任何兼容 Superpowers 的代理）中需要 Splunk 专业知识时，它就会被激活。 当技能激活时，AI 将获得： - 关于 **3 层 Splunk 架构**（forwarders → indexers → search heads）的深层知识 - 涵盖所有主要命令和最佳实践的专家级 **SPL**（Search Processing Language）能力 - 完整的 **app 和 add-on 开发**指导，包括自定义命令、模块化输入、REST API 和 Python SDK - 生产级 **管理**知识：所有关键 conf 文件、配置优先级、Deployment Server、许可证管理 - **Enterprise Security (ES)**、SOAR、ITSI、RBAC、TLS 加固和基于风险的告警 本技能是通过对 Google NotebookLM 中 300 多个网络资源进行深度自动化研究，综合这些发现并将它们打包成结构化参考格式而构建的。 ## 📊 基准测试结果 在 5 个真实的 Splunk 场景中，对比了带技能与不带技能的 AI 表现： | 指标 | 带技能 | 不带技能 | 差值 | |--------|:----------:|:-------------:|:-----:| | **通过率** | **96%** | **73%** | **+23pp** | | 平均响应时间 | 273s | 497s | 快 224s | 主要区别点： - ✅ **透明大页**调优 —— 该技能揭示了这个基础模型会遗漏的关键 Linux OS 设置 - ✅ **基于风险的告警实施步骤** —— 该技能提供了具体的从零开始的工作流，而基线模型仅提供理论 - ✅ **TA 目录结构 + 安全凭证处理** —— 完整的模式，而非残缺的示例 - ⚠️ V2 自定义命令协议 —— 已发现需要改进之处（参见 [路线图](#-roadmap)） ## 🗂️ 知识覆盖范围 | 参考文件 | 涵盖主题 | 行数 | |----------------|---------------|-------| | [`references/architecture.md`](references/architecture.md) | 3 层架构、forwarder 类型、索引管道、bucket 生命周期、SmartStore、indexer 集群 (RF/SF)、SHC、Deployment Server、性能调优 | 241 | | [`references/spl-guide.md`](references/spl-guide.md) | 完整的 SPL 命令参考、eval 函数、rex、stats 与 transaction 对比、lookups、KV Store、宏、事件类型、标签、工作流操作、tstats、仪表板类型 | 334 | | [`references/development.md`](references/development.md) | App/TA 结构、自定义命令（V2 协议）、模块化输入、告警操作、REST API（160+ 端点，端口 8089）、Python SDK、CIM 规范化、数据模型加速 | 393 | | [`references/administration.md`](references/administration.md) | 配置文件优先级、inputs.conf、props.conf、transforms.conf、indexes.conf、server.conf、Deployment Server、许可证管理、监控控制台 | 392 | | [`references/security-es.md`](references/security-es.md) | RBAC、authorize.conf、TLS/SSL、Enterprise Security、关联搜索、重要事件、RBA、威胁情报、SOAR、ITSI、SmartStore、Splunk Cloud 与 Enterprise 对比、安全加固清单 | 342 | ## 🚀 安装 ### 选项 1 — 直接克隆到您的技能目录 ``` # Claude Code / Copilot CLI / Gemini CLI (超能力) git clone https://github.com/ishayvilroel/superman-splunk \ ~/.agents/skills/superman-splunk ``` 就是这么简单。该技能会自动从技能目录中被发现。 ### 选项 2 — 手动复制 下载或克隆此仓库，然后将文件夹复制到您 AI 平台的技能目录中： | 平台 | 技能目录 | |----------|-----------------| | Claude Code (Superpowers) | `~/.claude/skills/superman-splunk/` | | Copilot CLI (Superpowers) | `~/.agents/skills/superman-splunk/` | | Gemini CLI (Superpowers) | `~/.gemini/skills/superman-splunk/` | ### 选项 3 — 打包的 `.skill` 文件 从 Releases 页面下载 [`superman-splunk.skill`](releases)，并通过您的技能管理器导入。 ## ⚡ 使用方法 安装完成后，当您的对话中提到 Splunk 时，该技能会 **自动**激活。无需显式调用。 ### 提示词示例 ``` "How do I set up indexer clustering with RF=3 and SF=2?" "Write me an SPL query to detect credential stuffing attacks from firewall logs" "Build me a modular input TA that polls a REST API every 5 minutes and handles credential storage securely" "My indexing pipeline is saturating typingQueue — walk me through diagnosing and fixing it" "Design an RBA (Risk-Based Alerting) workflow in Enterprise Security from scratch" ``` AI 会在回复前自动读取相关的参考文件（架构、SPL、开发等），从而为您提供植根于深厚 Splunk 知识的专家级解答。 ## 📁 仓库结构 ``` superman-splunk/ ├── README.md # This file ├── SKILL.md # Skill entry point — the AI reads this first ├── CHANGELOG.md # Version history ├── LICENSE # MIT License │ ├── references/ # Deep knowledge files (AI reads on demand) │ ├── architecture.md # 3-tier arch, buckets, clustering, SmartStore │ ├── spl-guide.md # Full SPL reference & knowledge objects │ ├── development.md # App dev, custom commands, REST API, SDK │ ├── administration.md # All conf files, deployment, licensing │ └── security-es.md # ES, SOAR, RBAC, TLS, RBA, ITSI │ ├── evals/ │ └── evals.json # Benchmark eval prompts and assertions │ └── docs/ ├── how-it-works.md # Architecture of the skill itself ├── splunk-quick-reference.md # Ports, conf files, commands cheatsheet └── benchmark.md # Full benchmark methodology and results ``` ## 🧠 工作原理 该技能使用了 **延迟加载参考模式**： 1. `SKILL.md` —— 入口点 —— 优先加载，并为 AI 提供一个领域路由表。 2. AI 仅读取当前问题所需的参考文件（例如，一个 SPL 问题 → 读取 `spl-guide.md`，而不是全部 5 个文件）。 3. 对于宽泛的问题，AI 会在组织答案之前读取多个参考文件。 这使得 token 的使用保持高效，同时允许 AI 按需访问完整的知识库。 ``` User asks about Splunk │ ▼ SKILL.md loads (domain routing table) │ ┌────┴────────────────────────────┐ │ │ SPL question? Architecture question? │ │ reads spl-guide.md reads architecture.md │ │ └────────────────┬────────────────┘ │ Expert response ``` ## 🗺️ 路线图 - [ ] **V2 自定义命令协议** —— 更多重点覆盖；当前技能版本已包含在 `development.md` 中，但代理并不能稳定地呈现它 - [ ] Splunk Cloud 与 Enterprise 决策矩阵及迁移指南 - [ ] ITSI 深入探讨模块（Episode 页面、Glass Tables、KPI 基线） - [ ] Splunk Observability（OTel、APM、RUM、Synthetics）扩展 - [ ] SPL2 / Federated Search 覆盖 ## 📄 许可证 MIT © [ishayvilroel](https://github.com/ishayvilroel) *"没有太高级或太基础的问题 —— 从“如何搜索日志”到“设计一个带 SmartStore 的多站点 indexer 集群”皆可解答。"*

标签：AI技能, AMSI绕过, Awesome, Claude, CVE检测, DLL 劫持, Enterprise Security, ES, Gemini, GitHub Copilot, ITSI, LLM, RBAC, Ruby, SOAR, SPL, Unmanaged PE, 人工智能, 代码示例, 大语言模型, 威胁检测, 安全信息与事件管理, 安全运营, 开发指南, 扫描框架, 搜索处理语言, 搜索引擎爬取, 数据分析, 架构, 用户模式Hook绕过, 知识库, 系统管理, 网络调试, 自动化, 防御加固, 风险告警