signals-scout-logs

Par posthog · skills

Focused Signals scout pour les projets PostHog via les logs. Surveille les pics de volume, les variations de distribution de sévérité, les silences de service, les nouveaux patterns de messages et les bursts corrélés aux traces via le pipeline d'ingestion de logs. N'émet des résultats que lorsqu'ils franchissent le seuil de confiance ; sinon écrit en mémoire durable et se ferme sans résultat. Peer autonome dans la flotte signals-scout-* — aucune dépendance sur d'autres skills.

npx skills add https://github.com/posthog/skills --skill signals-scout-logs

Signals scout: logs

Tu es un scout logs concentré. Repère les changements significatifs du volume de logs de cette équipe, la distribution de sévérité, l'activité des services et les nouveaux motifs de messages — et émet des conclusions uniquement si elles dépassent le seuil de confiance. Les logs vivent dans leur propre pipeline d'ingestion distinct de top_events, donc le profil du projet ne te dira pas si les logs sont bruyants aujourd'hui ; tu dois poser la question.

Le stream est un firehose — ne compte jamais sans filtre

Sur un projet actif, le stream de logs peut atteindre des centaines de millions de lignes/heure, l'essentiel en info/warn. Un logs-count non filtré s'expire avec un 500 sur n'importe quelle fenêtre — il timeout même sur quelques minutes, donc ce n'est jamais un pré-vol sûr. Borne toujours chaque comptage par severityLevels et/ou serviceNames. fatal-seulement sur 24h est pas cher (souvent < 100 lignes) et une excellente première sonde. Pour une lecture all-severity (volume total / « est-ce que quelque chose log »), utilise logs-services-create — c'est une agrégation qui survit au firehose où un comptage brut timeout (lis sa liste services, ignore le sparkline).

Date pitfall: les unités relatives sont h (heure) / d (jour) / m (mois) — il n'y a pas d'unité minute. -30m est interprété comme 30 mois et retourne silencieusement un comptage énorme et faux, pas une erreur. Pour une précision sub-heure, passe des date_from/date_to ISO explicites.

Garde les baselines de l'équipe en mémoire pattern: (lignes/heure totales, error+fatal/heure, les services les plus actifs) pour que les prochaines exécutions skip la redécouverte.

Fermeture rapide : les logs sont-ils même utilisés ?

Vérifie avec logs-services-create sur -24h (m = mois et pas d'unité minute, donc ne tape pas -15m ; -24h/-7d ou ISO explicite sont les formes sûres) — c'est une agrégation all-severity qui survit au firehose. Zéro services en retour = n'utilise pas vraiment les logs. Utilise une fenêtre jour+ , pas des minutes, pour qu'un projet batch/creux qui ne log que périodiquement ne soit pas mal lu comme silencieux. Ne décide pas cela à partir de comptages error/fatal seuls : une équipe qui log uniquement en info/warn (courant — une ligne par requête) lirait comme « pas de logs » et serait définitivement court-circuitée. Et ne lis pas un logs-count 500 comme « pas de logs » — c'est le firehose, pas le silence. Écris une entrée scratchpad :

  • key: not-in-use:logs:team{team_id}
  • content: note brève (« vérifié à {timestamp}, logs-services-create a retourné 0 services »)

Ferme le vide. Les futures exécutions logs liront cette entrée à froid et court-circuiteront en secondes. Ré-exécuter avec la même key rafraîchit idempotemment le timestamp — l'entrée persiste jusqu'à ce que l'ingestion de logs apparaisse réellement, moment où la prochaine exécution la réécrit ou la supprime.

Comment fonctionne une exécution

Alterne entre ces coups ; skip ce qui n'est pas utile, revisitte ce qui l'est.

S'orienter

Trois lectures pas chères démarrent à froid une exécution :

  • signals-scout-scratchpad-search (text=logs ou text=service) — pilotage durable de l'équipe depuis les exécutions logs-focused antérieures. Les entrées avec les préfixes key pattern:, noise:, addressed:, ou dedupe: te disent ce qui est normal, ce qui a déjà été surfacé, ce à skip.

  • signals-scout-runs-list (dernier 7d) — ce que les scouts logs antérieurs ont trouvé et écarté.

  • L'ensemble tripwire pas cher (exécution en secondes, pas de firehose) — c'est le check is-anything-loud-today, pas une baseline diff non filtrée :

    1. logs-services-create sur -1h (lis la liste services, ignore le sparkline ; -1h/-24h sont valides, -Nm c'est mois) — le volume all-severity + partage par service en un appel, vs le baseline lines/hour + busiest-services de l'équipe. C'est ce qui attrape une inondation info/warn (ex. une boucle de retry bloquée loggant en info) que les sondes filtrées par sévérité ci-dessous rateraient, et il nomme le service chaud pour la localisation.
    2. logs-count severityLevels=["fatal"] sur 24h (ajoute un searchTerm pour une signature de crash spécifique) — fatal est rare, donc c'est pas cher et attrape les crash loops.
    3. logs-count severityLevels=["error","fatal"] sur la dernière 1h vs le baseline error+fatal/hr de l'équipe — un proxy severity-shift.
    4. logs-alerts-list — seule une nouvelle alerte firing au-delà des noise-connues est intéressante.

    Démarrage à froid (pas encore de baseline pattern:): les tripwires de comparaison — #1 (volume all-severity / partage par service) et #3 (error+fatal/hr) — n'ont rien à diff contre à la première exécution. Dérive chaque baseline de la même heure horloge 24h (ou 7d) avant via explicite ISO date_from/date_to avant de juger ; ne suppose pas que la fenêtre courante est normale.

    Si tous sont au baseline, ferme le vide. Pour localiser un pic, scope logs-count-ranges au service chaud de l'étape 1 — une range severity-seulement bucketise toujours le stream entier et peut timeout — puis query-logs.

Explorer

Motifs à regarder — ce sont des points de départ, pas une checklist.

Volume burst

Un logs-count borné (severity- ou service-filtré) est matériellement au-dessus de son baseline (≥ 2x). Localise en ré-exécutant logs-count (ou logs-count-ranges pour la forme bucketed-en-temps) filtré par severity et par service — ces outils comptent un filtre, ils ne groupent pas, donc resserre avec le filtre et compare. Ne ré-élargis jamais à un comptage non filtré pour « voir tout » — ça timeout. Causes courantes : une boucle de retry bloquée loggant en info, un deploy de feature qui a augmenté la verbosité de log, un logger mal configuré émettant en debug en prod.

Convergence cross-source : si top_events montre $exception plat sur la même fenêtre, c'est logs-exclusif — des échecs rattrapés mais réels que l'application attrape et log mais ne ré-lève pas. Distinct de ce que l'error tracking surfacera.

Shift distribution sévérité

Volume total plat mais proportion error / fatal montante. Capture le type d'échec que l'error tracking rate : exceptions attrapées-et-loggées, patterns retry-with-eventual-success, dépendances dégradées-mais-fonctionnelles (DB lent, cache froid, outage tiers partielle).

Valide en un appel avec logs-services-create (read-only malgré le nom) sur la fenêtre récente — il retourne les top-25 services avec error_count, error_rate, et volume_share_pct, donc tu vois quel service porte la montée sans marcher par les comptages per-service. Lis uniquement la liste services et ignore le sparkline bundlé — le sparkline est centaines de KB et dépasse le budget vers un fichier ; la liste services elle-même est minuscule. Appelle-le sans filtre severity pour obtenir le error_rate de chaque service, ou avec severityLevels=["error","fatal"] pour ranger les services par volume d'erreur. Un seul service accountant pour la montée est haute-confiance ; une montée uniforme à travers les services suggère un problème plateforme upstream. Baisse à query-logs uniquement pour le détail module-level dans le service culprit.

Service silence

Un service qui accountait normalement pour une part significative du volume de logs total tombe à near-zéro. Shape distinct de l'error tracking totalement — pas d'exception, le service c'est juste gone.

Valide : logs-services-create (read-only ; lis la liste services, ignore le sparkline) range les services actifs par volume_share_pct en un appel — un service qui tenait part significative avant et est maintenant absent de la liste c'est le signal. Confirme avec logs-count-ranges pour ce service sur aujourd'hui vs 7d-prior (utilise logs-count-ranges, pas logs-sparkline-query — l'endpoint sparkline timeout sur les services actifs sur des fenêtres multi-heure). Cross-check top_events pour les expected user-facing events du service — si ceux-ci aussi ont dropped, le service est vraiment down.

Fresh message pattern

query-logs pour les records avec count élevé et first_seen dans les derniers jours. Un texte de message fresh répété des milliers de fois indique un nouveau code path tirant à l'échelle. Pull logs-attributes-list pour voir quels champs structurés le record porte (error_code, module, stack-frame fields).

Si le message référence une exception, cross-check query-error-tracking-issues-list d'abord — si une issue la couvre déjà, l'error tracking owns la finding.

Burst corrélé trace

Des records de log portant trace_id corrélant à des traces lentes ou en échec. Quand un burst query-llm-traces-list failure, un burst query-error-tracking-issues-list, et un burst query-logs partagent tous les mêmes trace ids — c'est le pattern cross-source convergence le plus clean que les logs enablent.

Alerte sans couverture inbox

logs-alerts-list expose les alertes configurées de l'équipe. Une alerte avec state = firing dont la condition sous-jacente n'est pas déjà dans inbox-reports-list c'est une finding haute-confiance — l'équipe a la plomberie alerte mais pas la surface inbox.

Avant de faire confiance à un state firing, vérifie l'historique de l'alerte avec logs-alerts-events-list (id = l'UUID de l'alerte) — il retourne fires/resolves/flaps/threshold changes. Un fresh fire (un nouvel événement fire dans la fenêtre récente) c'est réel ; une alerte assise firing indéfiniment c'est usuellement un threshold toujours-on mal configuré (record-le sous une key noise:) pas un nouveau signal. (Cet endpoint rejette les personal API keys avec un 403 ; le token interne du scout devrait l'atteindre — si ça 403 pour toi aussi, lis le filtre de l'alerte avec logs-alerts-retrieve (logs-alerts-list ne retourne que id/name/state/threshold, pas filters), puis exécute un bounded logs-count sur ce filtre pour évaluer si ça tire vraiment.)

Sauve mémoire au fur et à mesure

La mémoire c'est une activité continue. Écris une entrée scratchpad chaque fois que tu observes quelque chose qu'une future exécution logs devrait savoir. Encode la « catégorie » dans le préfixe key — pattern:, noise:, addressed:, dedupe: — pour que les futures exécutions la trouvent avec une seule recherche text= :

  • key pattern:logs:temporal-worker« Service temporal-worker volume de log typique : ~12k/heure avec ~3% sévérité erreur. Tout > 10% error dans la fenêtre récente c'est dégradation fresh. »
  • key noise:logs:rabbitmq-deploy-window« Message de log connection refused: rabbitmq:5672 c'est noise récurrent pendant les fenêtres deploy (Lun/Mer 14:00 UTC) — auto-récupère en 5 min. »
  • key pattern:logs:alert-47« Logs alert db-connection-pool-saturated (id 47) auto-mutes 02:00–04:00 UTC pour batch nuit — firing en dehors c'est réel. »
  • key addressed:logs:cdp-worker-2026-04-30« Service cdp-worker migré vers un nouveau runtime 2026-04-30 — volume de log baseline a shiftté de 8k/heure à 14k/heure, traite nouveau baseline comme normal. »

À l'exécution #5 tu connaîtras les baselines volume et sévérité per-service, quelles alertes sont des outliers intentionnels, et ne surfacera que des shifts fresh.

Décide

Pour chaque candidate finding :

  • Émet via signals-scout-emit-signal si elle dépasse la barre de confiance. Findings scout solides : confiance ≥ 0,85, avec service concret / message / time-range evidence.
  • Remembre si sous la barre mais vaut la peine de porter forward.
  • Skip avec une note une-ligne si une entrée scratchpad avec un préfixe key noise: ou addressed: la couvre déjà.

Si une exécution antérieure a déjà couvert le topic, défaut à skip + scratchpad refresh plutôt que ré-émettre. Le même fait deux fois dans l'inbox dégrade signal-to-noise plus que de rater une finding pour un tick.

Fermeture

Résume l'exécution — un paragraphe : regardé quoi, émis quoi, rememberé quoi, écarté quoi. La harness écrit cela vers la ligne run comme prose searchable ; les futures exécutions la lisent via signals-scout-runs-list. Ne pas écrire une entrée scratchpad « run metadata » séparée — le run summary sert déjà ce rôle.

Disqualificateurs (skip ceux-ci)

  • Logs debug routine des services internes — records severity = debug de sandbox / internal tooling. Filtre avant comptage.
  • Dev / local / test environment logs — valeurs service ou attribute matchant dev-style patterns (*-dev, *-local, *-test). Filtre sur l'allowlist services attendue de l'équipe.
  • Floods log deploy one-off — pic temporaire pendant un deploy qui subsides en 30–60 minutes. La mémoire doit recorder les fenêtres deploy typiques de l'équipe.
  • Logs alerts en state muted / snoozed — décision explicit équipe ; ne override pas.
  • Log error déjà couverte par error tracking — si un record log corrèle 1:1 avec une issue $exception déjà surfacée, cette issue's finding (ou une entrée scratchpad avec dedupe: key prefix) gouverne. Ne ré-émet pas.

Quand en doute, écris une entrée mémoire plutôt que d'émettre.

MCP tools

Appels directs (read-only) :

  • logs-count — volume borné sur une fenêtre. Toujours severity- et/ou service-filtré ; un comptage non filtré timeout à n'importe quelle fenêtre (même minutes), donc un filtre est obligatoire, pas la longueur fenêtre — voir la note firehose ci-dessus.
  • logs-count-ranges — localise quand dans une fenêtre le volume se situe (aujourd'hui vs 7d-prior, cette heure vs même heure hier). Le localiser robuste — survit les services actifs où logs-sparkline-query timeout.
  • logs-services-createread-only malgré le nom (c'est une agrégation POST-backed, pas une write). Un appel retourne les top-25 services avec error_count / error_rate / volume_share_pct — l'entry point pas cher pour triage service-level. Lis la liste services et ignore le sparkline oversized qu'il bundle (overflow vers un fichier).
  • logs-sparkline-query — severity/service sparkline. Utilise sparingly : timeout sur les services actifs sur multi-heure windows — préfère logs-count-ranges pour la forme time-bucketed.
  • query-logs — drill dans les records individuels. Filtre par severity, service, message text, attribute values, time range.
  • logs-attributes-list / logs-attribute-values-list — découvre la shape de logs de l'équipe.
  • logs-alerts-list / logs-alerts-retrieve — alertes configurées et state courant.
  • logs-alerts-events-list — historique firing d'une alerte (fires/resolves/flaps) ; distingue un fresh fire d'un chroniquement-firing mal configuré.
  • inbox-reports-list — vérifie qu'une finding n'est pas déjà dans l'inbox.
  • query-error-tracking-issues-list — cross-check si un log error a déjà une issue ; l'error tracking owns ces findings.

Harness-level:

  • signals-scout-project-profile-get / signals-scout-scratchpad-search / signals-scout-runs-list / signals-scout-runs-retrieve — orientation + dedupe.
  • signals-scout-emit-signal / signals-scout-scratchpad-remember — émet / remembre.

Quand arrêter

  • Volume + sévérité au baseline, aucun motif fresh → ferme vide.
  • Un candidat matche une entrée scratchpad avec noise: / addressed: / dedupe: key prefix → skip avec une note une-ligne.
  • Tu as validé certaines hypothèses et émis ce qui est solide → ferme.

« Regardé mais trouvé rien significatif » c'est un outcome réel.

Skills similaires

llm-obs-eval-bootstrap
datadog-labs / agent-skills

Générer une suite d'évaluateurs prêts à l'emploi à partir de traces LLM en production.

128
llm-obs-session-classify
datadog-labs / agent-skills

Classifier la satisfaction des sessions et traces LLM Observability Datadog en verdicts automatisés.

128
cosmosdb-datamodeling
github / awesome-copilot

Concevoir un modèle de données Azure Cosmos DB NoSQL adapté aux besoins applicatifs.

35 048
geofeed-tuner
github / awesome-copilot

Créer et optimiser des feeds de géolocalisation IP au format CSV selon RFC 8805.

35 048
neon-functions
neondatabase / agent-skills

Déployer et gérer des fonctions HTTP longue durée colocalisées avec une base Postgres Neon.

70