スキル observability-monitoring
📦
observability-monitoring
中リスク 🌐
ネットワークアクセス🔑
環境変数⚙️
外部コマンド
Node.jsサービスのオブザーバビリティを実装する
本番サービスには、一貫したログ、メトリクス、トレース、アラート、ヘルスプローブが必要です。このスキルは、その可視性を追加するための実用的なTypeScriptおよびPrometheusテンプレートを提供します。
対応: Claude Codex Code(CC)
1
スキルZIPをダウンロード
2
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
3
オンにして利用開始
Agent向けリソース
AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「observability-monitoring」を使用しています。 Express APIにリクエストオブザーバビリティを追加する。
期待される結果:
- リクエストID、ルートメタデータ、レスポンスステータス、レイテンシフィールドを含む構造化ロギング計画。
- クエリ値、トークン、セッション識別子、不要な個人データをリダクトするためのガイダンス。
- 一貫したリクエストおよびレスポンスロギングのためのミドルウェア配置に関する推奨事項。
「observability-monitoring」を使用しています。 Webサービス向けの本番アラートを定義する。
期待される結果:
- サービス可用性、エラー率、レイテンシ、メモリ使用量、データベースプール負荷、キャッシュヒット率を対象とした優先度付きアラートセット。
- 各アラートに対する推奨severityと評価ウィンドウ。
- 明確なオーナーシップとしきい値によってアラートノイズを減らすためのメモ。
「observability-monitoring」を使用しています。 注文処理のトレーシングを準備する。
期待される結果:
- 注文処理のparent spansと、支払いおよび在庫処理のchild spansを含むトレーシング設計。
- 生の支払い詳細や顧客の秘密情報の保存を避けるための推奨span属性。
- ローカル開発および制御された本番collector向けのexporter設定ガイダンス。
セキュリティ監査
中リスクv6 • 6/28/2026
The static critical finding is dismissed: the apparent command execution and weak cryptography hits are Markdown fences, comments, alert durations, imports, and normal configuration reads. The skill is not malicious, but it includes reusable logging and tracing templates that can collect request metadata, error details, and trace attributes, so publication should include a privacy warning.
6
スキャンされたファイル
796
解析された行数
10
検出結果
6
総監査数
中リスクの問題 (3)
Unredacted Request Metadata Logging
The request logger records query parameters, user agent, and IP address. This is useful for observability, but adopters could accidentally log tokens, personal data, or internal identifiers without redaction.
Telemetry Export May Send Sensitive Trace Attributes
The OpenTelemetry template exports traces to an endpoint selected by environment configuration and records order and payment attributes. This is expected observability behavior, but it can transmit sensitive operational data to a collector.
templates/health-checks.ts:44-49templates/health-checks.ts:61-64templates/health-checks.ts:77-80templates/health-checks.ts:87-90
Health Check Responses Expose Operational Details
The readiness endpoint returns application version, uptime, dependency names, latency, and raw error messages. These details can help operators, but they can also reveal internal system state if exposed publicly.
低リスクの問題 (4)
SKILL.md:25-33SKILL.md:48-59SKILL.md:74-80SKILL.md:95-103SKILL.md:139-151templates/structured-logging.ts:117-120
External Command Findings Are Markdown and Comments
The static shell execution matches are Markdown code fences, TypeScript template string examples, template references, or a commented bad logging example. No executable Ruby backtick or shell command path was found in these locations.
SKILL.md:3templates/alerting-rules.yml:19templates/alerting-rules.yml:33templates/alerting-rules.yml:44templates/alerting-rules.yml:60templates/alerting-rules.yml:71templates/alerting-rules.yml:89templates/alerting-rules.yml:103templates/health-checks.ts:81templates/opentelemetry-tracing.ts:5templates/opentelemetry-tracing.ts:16
Weak Cryptography Findings Are Keyword Collisions
The weak cryptography hits are not cryptographic code. They appear in descriptive text, Prometheus alert expressions, humanized descriptions, imports, and normal control flow comments.
templates/structured-logging.ts:14-35templates/opentelemetry-tracing.ts:18-23templates/health-checks.ts:48
Environment Access Is Configuration Only
The environment variable reads configure log level, service metadata, deployment environment, trace exporter endpoint, and application version. No code reads environment files or sends all environment variables elsewhere.
Hardcoded Network URL Defaults To Local Collector
The only hardcoded URL is the OpenTelemetry trace exporter default for localhost. It is a standard local collector endpoint, not an external exfiltration destination.
リスク要因
検出されたパターン
Log Request Data Only After RedactionProtect Telemetry Export Destinations
監査者: codex 監査履歴を表示 →
品質スコア
55
アーキテクチャ
100
保守性
87
コンテンツ
70
コミュニティ
42
セキュリティ
83
仕様準拠
作れるもの
基本的なサービスオブザーバビリティを追加する
新しいNode.jsサービスに、構造化されたリクエストログ、RED metrics、ヘルスプローブを導入します。
本番環境向けアラートを準備する
停止、エラー急増、レイテンシ、メモリ負荷、データベースプール枯渇、キャッシュ劣化に対するPrometheusアラートを作成します。
インシデント診断を改善する
ログ、メトリクス、トレースを接続し、チームがサービス境界をまたぐリクエスト失敗を調査できるようにします。
これらのプロンプトを試す
基本的なリクエストロギングを追加する
Use this skill to add structured request logging to my Express service. Include correlation IDs, useful fields, and safe redaction recommendations.
サービスメトリクスを作成する
Use this skill to design Prometheus metrics for HTTP requests, database latency, cache hits, and key business events in my Node.js app.
分散トレーシングをセットアップする
Use this skill to add OpenTelemetry tracing to my service. Include auto-instrumentation, manual spans, exporter configuration, and privacy safeguards.
インシデント対応に備えた監視パッケージを設計する
Use this skill to review my service for production observability. Propose logs, metrics, traces, alerts, health checks, dashboards, and rollout steps.
ベストプラクティス
- 本番環境でリクエストロギングやトレーシングを有効にする前に、リダクションルールを定義します。
- ユーザー影響に紐づく小さなアラートセットから始め、実際のトラフィックに基づいてしきい値を調整します。
- すべてのテレメトリで一貫したサービス名、バージョン、環境、相関IDを使用します。
回避
- 完全なリクエストボディ、トークン、パスワード、セッションID、フィルタされていないクエリ文字列をログに記録しないでください。
- アクセス制御なしにhealth、readiness、metrics、tracingエンドポイントを公開しないでください。
- オーナーシップ、severity、対応アクションを定義する前に、すべてのメトリクスに対してアラートを作成しないでください。
よくある質問
このスキルは監視スタックをインストールしますか?
いいえ。アプリケーションのオブザーバビリティコンポーネント向けに、テンプレートと実装ガイダンスを提供します。
このスキルはどのランタイムに重点を置いていますか?
テンプレートはTypeScriptの例を用いたNode.jsとExpressに重点を置いています。
Prometheusと一緒に使用できますか?
はい。Prometheusメトリクスとアラートルールの例を含みます。
OpenTelemetryと一緒に使用できますか?
はい。OpenTelemetryのトレーシングセットアップ、自動インストルメンテーション、手動spanの例を含みます。
本番利用前にどのようなセキュリティレビューが必要ですか?
機密データについて、ログフィールド、トレース属性、テレメトリエンドポイント、ヘルスレスポンス、メトリクス公開をレビューしてください。
これはインシデント対応計画の代わりになりますか?
いいえ。シグナルとアラートの作成には役立ちますが、チームには引き続きオーナーシップ、runbooks、エスカレーション経路が必要です。