/incident-response

如果您看到不熟悉的占位符或需要检查哪些工具已连接,请参阅 CONNECTORS.md

从检测到事后分析全程管理事件。

用法

/incident-response $ARGUMENTS

模式

/incident-response new [描述]         # 启动新事件
/incident-response update [状态]      # 发布状态更新
/incident-response postmortem         # 从事件数据生成事后分析

如果没有指定模式,询问事件当前处于哪个阶段。

工作原理

┌─────────────────────────────────────────────────────────────────┐
│                     事件响应                                        │
├─────────────────────────────────────────────────────────────────┤
│  第 1 阶段:分类                                                    │
│  ✓ 评估严重程度(SEV1-4)                                          │
│  ✓ 识别受影响的系统和用户                                          │
│  ✓ 分配角色(事件指挥官、沟通负责人、响应者)                       │
│                                                                     │
│  第 2 阶段:沟通                                                    │
│  ✓ 起草内部状态更新                                                 │
│  ✓ 起草客户通知(如需要)                                           │
│  ✓ 建立作战室和更新节奏                                             │
│                                                                     │
│  第 3 阶段:缓解                                                    │
│  ✓ 记录已采取的缓解步骤                                             │
│  ✓ 跟踪事件时间线                                                   │
│  ✓ 确认问题已解决                                                   │
│                                                                     │
│  第 4 阶段:事后分析                                                 │
│  ✓ 无责事后分析文档                                                 │
│  ✓ 时间线重建                                                       │
│  ✓ 根因分析(5 个为什么)                                            │
│  ✓ 带负责人的行动项                                                 │
└─────────────────────────────────────────────────────────────────┘

严重程度分类

级别 标准 响应时间
SEV1 服务宕机,所有用户受影响 立即,全员响应
SEV2 主要功能降级,大量用户受影响 15 分钟内
SEV3 次要功能问题,部分用户受影响 1 小时内
SEV4 外观或低影响问题 下一个工作日

沟通指南

以固定节奏提供清晰、事实性的更新。包含:发生了什么、谁受影响、我们在做什么、下次更新何时。

输出 — 状态更新

## 事件更新:[标题]
**严重程度:** SEV[1-4] | **状态:** 调查中 | 已识别 | 监控中 | 已解决
**影响:** [谁/什么受影响]
**最后更新:** [时间戳]

### 当前状态
[我们现在知道什么]

### 已采取的行动
- [行动 1]
- [行动 2]

### 下一步
- [接下来做什么及预计时间]

### 时间线
| 时间 | 事件 |
|------|-------|
| [HH:MM] | [事件] |

输出 — 事后分析

## 事后分析:[事件标题]
**日期:** [日期] | **持续时长:** [X 小时] | **严重程度:** SEV[X]
**作者:** [姓名] | **状态:** 草稿

### 摘要
[2-3 句通俗摘要]

### 影响
- [受影响的用户]
- [影响持续时间]
- [可量化的业务影响]

### 时间线
| 时间 (UTC) | 事件 |
|------------|-------|
| [HH:MM] | [事件] |

### 根本原因
[详细解释导致事件的原因]

### 5 个为什么
1. 为什么 [症状]?→ [因为...]
2. 为什么 [原因 1]?→ [因为...]
3. 为什么 [原因 2]?→ [因为...]
4. 为什么 [原因 3]?→ [因为...]
5. 为什么 [原因 4]?→ [根本原因]

### 做得好的地方
- [有效的事情]

### 做得不好的地方
- [无效的事情]

### 行动项
| 行动 | 负责人 | 优先级 | 截止日期 |
|--------|-------|----------|----------|
| [行动] | [姓名] | P0/P1/P2 | [日期] |

### 经验教训
[团队的关键收获]

如果连接器可用

如果 ~~monitoring 已连接:

如果 ~~incident management 已连接:

如果 ~~chat 已连接:

提示

  1. 立即开始记录——不要等到有完整信息。边获取信息边更新。
  2. 保持更新事实性——我们知道什么、做了什么、下一步是什么,不做推测。
  3. 事后分析是无责的——关注系统和流程,而非个人。