원클릭으로
skyeye-sensor-use
使用天眼 SkyEye Sensor 传感器侧精简 CLI 查询告警列表和告警统计。适用于用户提到"SkyEye Sensor""天眼流量传感器告警"场景。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
메뉴
使用天眼 SkyEye Sensor 传感器侧精简 CLI 查询告警列表和告警统计。适用于用户提到"SkyEye Sensor""天眼流量传感器告警"场景。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
SOC 직업 분류 기준
使用统一的 Web2CLI 流程捕获网站的 XHR/Fetch 请求,并生成可复用的 CLI、Markdown 文档。通过浏览器的 `cdp-direct` 模式复用用户 Chromium 系浏览器登录态与 CDP 能力。适用于复现登录后操作、沉淀接口调用样例,或基于页面操作生成自动化工具时。
根据自然语言描述生成 flocks 内置工作流(workflow.md, workflow.json)。当用户提出创建/设计/生成/搭建工作流或任何多步骤流程(如告警调查、事件响应、SOP/Runbook 自动化)时使用本 skill。
配置现有 Flocks 工作流的发布、集成、触发器和发布配置模板;本 skill 只定义交互协议,具体配置问题必须来自工作流目录内的 guide.md
统一处理浏览器使用任务,支持可见浏览器 CDP 直连、专用 headless CDP、agent-browser。Use when the user asks to browse websites, interact with pages, fill forms, capture screenshots, reuse an existing Chrome/Chromium/Edge login session, work with an already-open browser/sidebar browser, access login-only/internal/dynamic pages, or automate browser actions.
Guide users to create, develop, hide, or delete user-defined custom pages that appear in the WebUI left navigation under Home, with live preview and no restart required. Also guide development of page-scoped backend APIs through the User Defined Page Backend API Runtime when built-in APIs are insufficient. Trigger when the user asks to create, remove, or delete a custom page, user-defined page, dashboard, navigation tab, integrate custom APIs for a page, or sends messages such as "create a custom page", "delete custom page", "remove user-defined page", "创建自定义页面", "删除自定义页面", "用户自定义页面", "自定义页面", "左侧导航页面", "首页下面的页面", "页面数据来源", "自定义 API", or wants help understanding how custom pages work in Flocks.
Create new sub-agents (subagents) by generating YAML config and prompt files in ~/.flocks/plugins/agents/. The created agent can be delegated to by Rex via delegate_task. Use when the user asks to create, add, or generate a new agent.
| name | skyeye-sensor-use |
| description | 使用天眼 SkyEye Sensor 传感器侧精简 CLI 查询告警列表和告警统计。适用于用户提到"SkyEye Sensor""天眼流量传感器告警"场景。 |
如果是分析平台日志检索,不要用这个 skill,改用
skyeye-use。
这个 skill 主要覆盖传感器侧接口:
不适合:
对后台任务 / 定时任务,或系统不支持可视化,使用
browser-use的cdp-headless模式。
State 文件路径:~/.flocks/browser/skyeye-sensor/auth-state.json(固定,全局唯一)。
flocks browser --doctor
如果 flocks browser --doctor 提示浏览器已运行,但 daemon 或 active browser connection 不可用,必须直接提示用户:
browser: not connected — 请确保 Chrome / Chromium / Edge 已打开,然后访问对应浏览器的 inspect 页面(例如 chrome://inspect/#remote-debugging 或 edge://inspect/#remote-debugging)并勾选 Allow remote debugging
然后等待用户进一步指示,不要直接操作。
当用户确认已开启 remote debugging 后:
flocks browser --setup 触发交互式 attach,不要用短超时包装该命令。flocks browser --doctor 做只读确认。flocks browser --reload 清理旧 daemon,再重新执行 flocks browser --setup,避免因为残留 daemon 造成干扰。--doctor 通过后,才继续后面的登录或页面操作。打开登录页并等待用户手动完成登录(含短信验证码 / MFA 等):
flocks browser -c '
tid = new_tab("https://<skyeye-sensor-domain>/login", activate=True)
wait_for_load()
print(tid)
print(page_info())
'
自动执行上述命令,等待用户登录结束,收到通知后继续:
# 登录成功后立即保存 state
flocks browser state save ~/.flocks/browser/skyeye-sensor/auth-state.json
当 CLI 出现以下任一情况,优先判定为认证问题(不要立刻要求用户重新登录):
401 / 403Unauthorized、login、未登录、认证失败auth-state.json 存在,但 CLI 请求仍失败恢复步骤(最多尝试 1 次):
# 1) 重新加载 state(强制刷新浏览器会话)
flocks browser state load ~/.flocks/browser/skyeye-sensor/auth-state.json --url "https://<skyeye-sensor-domain>"
# 2) 读取当前页面状态
flocks browser -c '
print(page_info())
'
# 3) 根据结果决策
URL=$(flocks browser -c '
info = page_info()
print(info.get("url", ""))
' | tail -n 1)
if [[ "$URL" == *"/login"* ]]; then
echo "Session 仍无效,需重新登录"
# → 走上方「首次登录 / 重新登录」流程
else
flocks browser state save ~/.flocks/browser/skyeye-sensor/auth-state.json
echo "Session 已恢复,可重试 CLI"
# → 重试一次 CLI;若仍失败,再走重新登录,不要无限循环
fi
CLI 在 skill 内:
scripts/skyeye_sensor_cli.py
执行命令时:
uv run python scripts/skyeye_sensor_cli.py ...auth-state.json认证环境变量:
SKYEYE_SENSOR_BASE_URL=https://<skyeye-sensor-domain>SKYEYE_SENSOR_AUTH_STATE=~/.flocks/browser/skyeye-sensor/auth-state.jsonSKYEYE_SENSOR_COOKIE_FILESKYEYE_SENSOR_CSRF_TOKEN如果已经通过 export 设置好环境变量:
# 默认输出 JSON
uv run python scripts/skyeye_sensor_cli.py alarm count --days 7
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --page 1 --page-size 10
uv run python scripts/skyeye_sensor_cli.py alarm list --hours 6 --sip 1.1.1.1
# 配合 jq 提取字段
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --hazard-level "3,2" | jq '.items[].threat_name'
# 加 --table 输出格式化表格(人工阅读用)
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --table
带认证的完整单行格式(无需提前 export,适合直接执行):
SKYEYE_SENSOR_BASE_URL=https://<skyeye-sensor-domain> \
SKYEYE_SENSOR_AUTH_STATE=~/.flocks/browser/skyeye-sensor/auth-state.json \
uv run python scripts/skyeye_sensor_cli.py \
alarm list --days 7 --hazard-level "3,2" --json
alarm countalarm listreferences/API_REFERENCE.md 中"API Client 已支持"部分时间:--days / --hours
IP 相关:--sip --dip --alarm-sip --attack-sip
告警分类:--hazard-level --threat-type --attack-type --threat-name --attack-stage --attack-dimension
处置状态:--status --attack-result --host-state --is-read --user-label
网络特征:--proto --sport --dport --host --uri --xff --status-http
威胁情报:--ioc --attck-org --attck --alert-rule --is-web-attack
网络标识:--src-mac --dst-mac --vlan-id --vxlan-id --gre-key
标签与来源:--marks --ip-labels --alarm-source
时间与文件:--start-update-time --end-update-time --pcap-filename
完整参数说明见 references/API_REFERENCE.md。
# 最近 7 天,严重 + 高危告警列表
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --hazard-level "3,2"
# 最近 24 小时,高危以上告警数量趋势
uv run python scripts/skyeye_sensor_cli.py alarm count --hours 24 --hazard-level "3,2"
# 最近 7 天攻击成功告警
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --attack-result "攻击成功"
# 高危以上 + 攻击成功
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --hazard-level "3,2" --attack-result "攻击成功"
# 统计最近 7 天攻击成功告警数量
uv run python scripts/skyeye_sensor_cli.py alarm count --days 7 --attack-result "攻击成功"
# 最近 7 天未处置告警(status=0)
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --status "0"
# 高危以上 + 未处置
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --hazard-level "3,2" --status "0"
# 某 IP 作为流量源 IP 的告警
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --sip "1.1.1.1"
# 某 IP 作为流量目的 IP 的告警
uv run python scripts/skyeye_sensor_cli.py alarm list --days 7 --dip "192.168.1.100"
# 威胁类型 2、3,主机状态包含失陷(-1)
uv run python scripts/skyeye_sensor_cli.py alarm list \
--days 7 \
--threat-type "2,3" \
--host-state "0,1,2,-1"
# 最近 30 天每天告警数
uv run python scripts/skyeye_sensor_cli.py alarm count --days 30
# 最近 7 天,仅高危以上
uv run python scripts/skyeye_sensor_cli.py alarm count --days 7 --hazard-level "3,2"
当查询字段或条件不在常用查询字段/示例中,请阅读完整字段列表、CLI 参数说明、查询示例:references/API_REFERENCE.md
skyeye-data-fetchalarm list 和 alarm countauth-state.json 存在;CLI 认证失败时先走恢复流程,不要立刻要求用户重新登录。ERR_CERT_AUTHORITY_INVALID:站点证书不被本机信任,使用--ignore-https-errors 或 请求用户处理。