2.2 KiB
2.2 KiB
OpenViking Namespaces
目标
通过明确 namespace 和 URI 组织方式,把 OpenViking 用作统一的 context / memory gateway。
推荐 namespace
1. soc/knowledge
用于稳定知识:
- KB
- Playbook
- 月报摘要
- 报告摘要
- PO
示例:
viking://soc/knowledge/kb/phishing-mail-header-analysisviking://soc/knowledge/playbook/o365-suspicious-login
2. soc/case
用于历史案例和 case 结论:
- 历史 case
- 真报 / 误报模式
- 关键证据
示例:
viking://soc/case/true-positive/case-2026-00128viking://soc/case/false-positive/case-2026-00072
3. soc/process
用于流程级记忆:
- agent 中间分析
- 工具输出摘要
- 可复用的中间判断模式
示例:
viking://soc/process/session-abc123/step-04
4. session/<session_id>
用于当前任务的临时上下文。
示例:
viking://session/incident-20260421-001/contextviking://session/incident-20260421-001/tools
5. agent/<agent_id>
用于 agent 级别的私有或半私有上下文。
示例:
viking://agent/hermes-soc/defaultviking://agent/nanobot-soc/preferences
6. user/<user_id>
用于 analyst 偏好、展示习惯等小规模 profile 信息。
示例:
viking://user/alice/preferences
资源组织建议
memory
适用于:
- 高价值摘要
- case 结论
- pattern
- lesson learned
resources
适用于:
- 原始附件链接
- 外部文档引用
- Obsidian note 路径
- ticket / report / intel 引用
skills
适用于:
- 检索 skill
- 记忆抽取 skill
- case 沉淀 skill
检索顺序建议
当前 case 发生检索时,建议按以下顺序召回:
session/<session_id>soc/casesoc/knowledgeagent/<agent_id>user/<user_id>
这样可以优先保证“当前上下文”和“历史相似 case”的相关性,不让通用知识淹没 case 信号。
约束建议
- 不要把所有原始资料直接写入
soc/knowledge soc/process默认应该设置清理策略- 长期稳定内容再写入
soc/knowledge或soc/case - Obsidian 只存人工可维护的摘要和结构化沉淀,不做全量原文仓