自动化审计流水线：OpenClaw串联SecGPT-14B与Wazuh日志

自动化审计流水线OpenClaw串联SecGPT-14B与Wazuh日志1. 为什么需要自动化审计流水线去年我负责公司内部安全审计时每天要手动检查上千条Wazuh告警日志。最痛苦的不是分析工作本身而是需要反复在终端、Excel和笔记工具间切换。直到发现OpenClaw这个开源自动化框架才意识到完全可以让AI帮我完成这些机械劳动。OpenClaw的独特价值在于它能像人类一样操作电脑——读取日志文件、调用模型API、写入数据库、发送通知整个过程无需人工干预。更重要的是所有操作都在本地完成避免了敏感日志外泄的风险。经过两周的调试我成功搭建了一套自动化审计流水线现在每天能节省3小时人工检查时间。2. 技术栈选型与架构设计2.1 核心组件分工这套系统的关键在于三个组件的协同Wazuh负责采集主机日志和安全事件SecGPT-14B基于vllm部署的网络安全大模型提供威胁分析能力OpenClaw作为调度中枢串联整个工作流2.2 数据流转示意图Wazuh告警 → OpenClaw定时抓取 → SecGPT-14B分析 → 分级存储 → 飞书通知实际部署时遇到第一个坑Wazuh默认的日志格式需要特殊处理。我不得不修改OpenClaw的解析模块添加了对Wazuh JSON日志的专用解析器。这也体现出OpenClaw的优势——所有组件都在本地可以自由修改适配。3. 关键配置与实现细节3.1 环境准备需要提前部署好以下服务Wazuh Manager默认端口55000SecGPT-14B API服务chainlit默认端口8000MySQL数据库用于存储分析结果飞书开发者账号获取App ID/Secret3.2 OpenClaw技能安装通过ClawHub安装必要技能包clawhub install wazuh-parser secgpt-analyzer feishu-notifier这三个技能包分别提供wazuh-parserWazuh日志解析与字段提取secgpt-analyzerSecGPT-14B API调用封装feishu-notifier飞书消息推送模板3.3 核心配置文件在~/.openclaw/automations/audit_pipeline.yaml中定义工作流pipeline: name: security_audit schedule: 0 */2 * * * # 每2小时运行一次 steps: - name: fetch_wazuh_alerts module: wazuh_parser params: endpoint: http://localhost:55000 last_hours: 2 severity: [7, 12, 13] # 只处理中高危告警 - name: analyze_with_secgpt module: secgpt_analyzer params: model_url: http://localhost:8000/v1/completions prompt_template: | 请分析以下安全事件按格式返回 [威胁等级]: 低/中/高 [攻击类型]: [修复建议]: - name: store_results module: builtin.mysql params: host: 127.0.0.1 table: security_events mapping: alert_id: {{input.alert_id}} threat_level: {{output.analysis.[威胁等级]}} timestamp: {{timestamp}} - name: notify_high_risk module: feishu_notifier when: output.analyze_with_secgpt.[威胁等级] 高 params: template_id: high_risk_alert receivers: [ou_xxxxxx] # 飞书部门ID这个配置踩过两个坑最初忘记设置when条件导致所有告警都触发通知SecGPT-14B的API路径需要包含/v1/completions后缀4. 实际运行效果系统上线后最明显的改进是响应速度。过去从发现告警到人工确认平均需要47分钟现在高危事件能在90秒内完成分析并通知。以下是典型处理流程Wazuh检测到可疑的SSH暴力破解尝试等级12OpenClaw抓取该事件并发送给SecGPT-14B模型返回分析结果[威胁等级]: 高 [攻击类型]: SSH暴力破解 [修复建议]: 1. 封禁源IP 2. 检查ssh密钥配置结果存入数据库同时飞书安全群收到通知数据库设计也做了优化新增了model_analysis字段存储原始分析结果。这为后续的误报分析提供了宝贵数据。5. 经验总结与改进方向这套系统目前稳定运行了三个月日均处理300告警。几点重要经验首先SecGPT-14B的分析质量高度依赖提示词设计。经过多次迭代现在的提示模板要求模型必须按指定格式返回大大降低了后续处理的复杂度。其次OpenClaw的错误重试机制需要特别关注。最初没有设置重试导致偶尔的网络抖动就会中断整个流水线。后来在YAML配置中添加了retry: 3参数解决问题。未来计划在两个方面继续优化增加反馈循环将人工确认结果重新训练模型开发可视化看板聚合历史分析数据这种轻量级自动化方案特别适合中小团队。它不需要复杂的K8s集群或消息队列所有组件都可以跑在一台开发机上却能达到接近专业SIEM系统的效果。获取更多AI镜像想探索更多AI镜像和应用场景访问 CSDN星图镜像广场提供丰富的预置镜像覆盖大模型推理、图像生成、视频生成、模型微调等多个领域支持一键部署。