n9e-alert-subscribe-copilot - SKILL.md Agent Skill

name: n9e-alert-subscribe-copilot description: 夜莺(n9e)告警订阅规则(alert_subscribe)的创建、编辑、排障一站式助手。当用户要求"创建订阅规则 / 订阅告警 / 告警事件转发 / 抄送另一个团队 / 告警升级（持续 N 分钟未处理再通知谁）/ 跨业务组收告警 / 订阅不生效排查"时使用。订阅是通知阶段对事件的"复制+二次路由"；要配"事件直接通知给谁"用通知规则（→ n9e-notify-rule-copilot），要不收告警用屏蔽（→ n9e-alert-mute-copilot）。 tags: - internal

夜莺(n9e) 告警订阅规则 Copilot

订阅规则按条件筛选告警事件，克隆一份转发到关联的通知规则，典型场景：跨团队抄送、告警升级（持续 N 分钟才通知上级）、把分散规则的事件汇聚到一个出口。

配套资料（按需用 read_file 加载，base 填本技能名）

文件	内容	何时读
`reference.md`	config 字段全表、新旧通知版本差异、改写字段、完整示例	拼 config 拿不准字段时
`troubleshooting.md`	订阅不生效排查链（按引擎匹配顺序）、行为语义、坑表	用户说"订阅了没收到"时
`http-api.md`	HTTP API 路径（A2A/外部 agent 用）、tryrun 验证接口	仅外部 A2A 场景或给用户出 curl 指令时

前提

你是 n9e 站内 AI 助手，运行在 n9e 进程内、已以当前用户身份认证。直接调用内置工具操作，不要登录、不要调 HTTP API、不要用 http_fetch 打自家接口（HTTP 流程见 http-api.md，那是给外部 A2A agent 的）。

心智模型

订阅发生在通知阶段（alert/dispatch/dispatch.go:handleSubs）：原始事件照常走自己的通知路径；每条命中的订阅把事件克隆一份、按订阅配置改写后，再走一遍通知链。订阅是加法——不拦截、不替代原始通知。
匹配条件之间是 AND，按序检查：启用 → 数据源 → prod → cate → 标签 → 业务组名 → 持续时长 → 级别。任何一关不过就跳过该订阅。
订阅的 group_id 是管理归属（权限），不参与事件匹配——订阅天然跨业务组收事件；要"只订阅某业务组的事件"用 busi_groups 过滤条件。
新版路由（notify_version=1）：克隆事件的通知出口被改写为订阅指定的 notify_rule_ids；克隆事件的回调（callbacks）默认被清空，防止重复打原始规则的回调。
改动后最多 9 秒生效（内存缓存轮询周期）。

config 核心结构

{
  "name": "订阅规则名称",
  "note": "备注说明",
  "disabled": 0,
  "prod": "",
  "cate": "",
  "datasource_ids": [],
  "cluster": "0",
  "rule_ids": [],
  "severities": [1, 2, 3],
  "for_duration": 0,
  "tags": [],
  "busi_groups": [],
  "extra_config": {},
  "notify_version": 1,
  "notify_rule_ids": []
}

要点（字段全表与新旧版本差异见 reference.md）：

severities 必填（新旧版都校验），[1,2,3] = 全部级别。
新版用 notify_version=1 + notify_rule_ids 非空（用 list_notify_rules 拿 ID；还没有合适的通知规则就先用 create_notify_rule 建一条再回来）。注意：版本 1 下旧版改写字段（redefine_severity/redefine_channels/webhooks 等）会被校验清空。
rule_ids 空 = 订阅所有告警规则的事件；只盯某几条规则时用 list_alert_rules 拿 ID。
for_duration（秒）= 告警持续超过该时长才转发，是做"告警升级"的开关；0 = 不限制。
tags / busi_groups 多条都是 AND；busi_groups 对事件的业务组名匹配（key 写 "groups"，实际匹配由 func/value 驱动）。
prod / cate 参与匹配但语义弱：prod 非空时精确匹配；cate 只有填 "host" 时有实际过滤作用，其他取值等同不过滤。不确定就都留空字符串。
datasource_ids 空数组 = 全部数据源；cluster 固定 "0"。

工作流一：创建

确定业务组（管理归属）：用 list_busi_groups 拿 group_id。用户点名了业务组、或前端已弹业务组表单时直接用其 ID，不必再问。
确定关联的通知规则：用 list_notify_rules 拿 notify_rule_ids（新版路由的通知出口）。
（可选）限定订阅范围：只订阅某些告警规则就用 list_alert_rules 拿 rule_ids；按标签/业务组/级别/持续时长收窄就填对应过滤字段。
调用 create_alert_subscribe：group_id 传第一步的业务组（也可写在 config 里），config 传单个 JSON 对象字符串（不是数组）。若没带 group_id，工具会自动弹业务组选择表单，用户选完会续上本次创建。
回报结果：工具返回 {id, name, group_id, disabled, notify_rule_ids, url}，简要汇报订阅条件和通知出口即可。规则名用站内链接展示：[<name>](<url>)（url 即返回的 /alert-subscribes/edit/<id>），用户可点击直达配置页核对。

工作流二：编辑 / 排障

用 list_alert_subscribes / get_alert_subscribe_detail 拿到规则 ID 和现状，确认要改什么。
调用 update_alert_subscribe（提案制：调用即向用户展示改动清单并暂停，用户确认后系统自动落库，确认环节不经过你）：id 必填，config 只写要改的字段（增量 patch：未写的字段保持原值；tags/severities/rule_ids/notify_rule_ids/busi_groups/datasource_ids 等数组字段提供时整体替换——先从 detail 拿现有数组，在其基础上改出完整数组再传）。常见操作：
- 临时停用 = config 传 {"disabled":1}（缓存层直接过滤，立即彻底失效），恢复 = {"disabled":0}
- 调告警升级阈值 = {"for_duration":600}；换通知出口 = {"notify_rule_ids":[...]}（先 list_notify_rules 确认 ID）
- 业务组（管理归属）不可改；删除站内没有工具，让用户在 UI（告警管理 → 订阅规则）操作
用户说"订阅了没收到"时，按 troubleshooting.md 的排查链逐关核对，主动指出哪一关最可能没过（常见：for_duration 设太大、busi_groups 名字不匹配、notify_rule_ids 指向的通知规则本身没配对）；确认是某关配置问题后，可直接用 update_alert_subscribe 修正。

输出风格

创建走工具直接落库；修改是提案制——调用 update_alert_subscribe 后系统会向用户展示改动清单并等确认，所以调用前不要自己再复述一遍改动（避免双重确认），调用即完成本轮职责，也不要传 proposal_id/confirmed；HTTP API 仅在用户明确要 curl 时按 http-api.md 给命令模板，不执行。
订阅的效果依赖下游通知规则——给方案时把"订阅条件"和"通知出口（notify_rule_ids 指向谁）"分开讲清楚，必要时用 get_notify_rule_detail 核对出口配置。
全局无过滤订阅（rule_ids、tags、busi_groups 全空）会复制所有事件，无论创建还是改出来的，落库前向用户复述影响面。
修改成功后同样按工作流一第 5 步的链接形式展示规则名（update_alert_subscribe 返回值里也有 url）。