Zum Hauptinhalt springen
Wenn Sie die Request-Log-Erfassung zur Fehlersuche einschalten, speichern Sie Prompt- und Response-Bodies — genau die Daten, die eine Datenschutzregulierung Sie nicht länger aufzubewahren bittet, als Sie sie brauchen. OrcaRouter gibt Ihnen dafür einen einzigen Pro-Workspace-Regler: ein Aufbewahrungsfenster mit einem vernünftigen Default und einer harten Obergrenze, die der Server durchsetzt, sodass eine Erfassung, die Sie vergessen, altert, statt sich für immer anzuhäufen. Diese Seite behandelt, wie dieser Regler funktioniert und wie er mit der Löschung zusammenhängt. Für die breitere Nachweis-Story beginnen Sie beim Compliance-Überblick.

1. Warum die LLM-Log-Aufbewahrung an einem Gateway zählt

Die Request-Log-Erfassung ist Opt-in, aus, bis Sie sie explizit aktivieren, und hinter einer aufgezeichneten Einwilligungsbestätigung gegated — weil das Einschalten den vollständigen Prompt- und Response-Text persistiert. Sobald sie an ist, fragen Auditoren nicht ob Sie loggen, sondern wie lange Sie es behalten. Ein 30-Tage-Default hält einen nützlichen Fehlersuch-Trail; eine serverseitig durchgesetzte 180-Tage-Obergrenze bedeutet, dass kein Client-Request, wie manipuliert auch immer, Bodies über Ihr Compliance-Limit hinaus behalten kann.
Die Aufbewahrung gilt für erfasste Request Logs (die Opt-in-Prompt-/Response-Bodies). Metering- und Abrechnungsdatensätze sowie die signierten Compliance-Reports, beschrieben in Signierter Report, folgen ihren eigenen Lebenszyklen — diese Seite handelt von der Uhr der erfassten Logs.

2. Die zwei Zahlen

Default: 30 Tage

Eine frisch aktivierte Erfassung behält Bodies für 30 Tage. Lassen Sie das Aufbewahrungsfeld ungesetzt, und jeder Workspace erbt dies.

Hartes Max: 180 Tage

Der Server klemmt jede angeforderte Aufbewahrung auf 180 Tage. Fragen Sie nach mehr, und der Wert wird stillschweigend auf die Obergrenze reduziert — es ist kein Fehler, es ist eine Decke.
Die harte Obergrenze ist 180 Tage: Ein Wert über 180 deckelt bei 180, und ein Wert von 0 (oder ungesetzt) bedeutet den Default erben — was sich zu 30 Tagen auflöst. Die Defaults und die Live-Obergrenze sind aus dem öffentlichen Status-Payload lesbar, sodass ein Einstellungs-Panel die richtigen Grenzen rendern kann: 
GET /api/status
Die Response trägt request_log_default_retention_days, request_log_max_retention_days und request_log_default_enabled — die effektiven Grenzen, die Ihre Konsole liest, bevor sie das Eingabefeld zeigt.

3. Aufbewahrung setzen (ein konkreter Ablauf)

Die Aufbewahrung ist eine Workspace-Einstellung, konfiguriert aus der Konsole unter Settings → Privacy. Jedes Mitglied kann sie lesen; sie zu ändern erfordert die Workspace-Rolle Admin. Die Konsole steuert diese Management-Route mit Ihrer Session (eine UserAuth-Route — kein Relay-Key), sodass Sie niemals einen sk-orca-...-Key in einen Einstellungs-Call setzen: 
PUT /api/workspaces/:id/request-log-settings
Authorization: Bearer <your console session>

{
  "request_log_enabled": true,
  "request_log_retention_days": 60
}
Ein paar Regeln, die der Server bei diesem Call durchsetzt:
request_log_enabled ist ein Pointer-Toggle. Lassen Sie es weg, und der gespeicherte Wert bleibt unangetastet; senden Sie true/false, um ihn zu überführen. Die Erfassung einzuschalten erfordert eine aktuelle, nicht widerrufene Einwilligungsbestätigung — der Einwilligungsdatensatz ist serverseitig maßgeblich und wird niemals aus Client-JSON gelesen. Siehe Einwilligung.
request_log_retention_days ist ein Ganztage-Integer, geklemmt auf [1, 180]. Ein 0 bedeutet „den existierenden Wert lassen” (oder den System-Default downstream erben); 200 wird zu 180.
Es gibt nichts, was auf einem Zeitplan laufen muss. Erfasste Bodies jenseits des Aufbewahrungsfensters werden vom Gateway entfernt; Sie konfigurieren das Fenster, das Gateway setzt es durch.
Die risikoärmste Haltung ist die naheliegende: Lassen Sie die Erfassung aus, sofern Sie nicht aktiv Fehler suchen, und wenn Sie sie aktivieren, setzen Sie die kürzeste Aufbewahrung, die Ihre Debugging-Schleife noch abdeckt. Der 30-Tage-Default ist bereits konservativ.

4. Aufbewahrung vs. Löschung

Die Aufbewahrung lässt erfasste Logs im normalen Verlauf altern. Die Löschung ist der On-Demand-Pfad für eine Data-Subject-Request (DSAR) oder eine Kontoschließung — und sie reicht weiter als die Log-Uhr:
AuslöserFensterDann
Erfasstes Log jenseits der Aufbewahrungbis zu 180 TageLog entfernt
Konto-Selbstlöschung30-Tage-GnadePII-Bereinigung + Cascade-Löschung
Eine Selbstlöschung soft-löscht das Konto sofort und plant eine irreversible PII-Bereinigung für 30 Tage später. Während dieses Gnadenfensters kann das Konto noch wiederhergestellt und seine Daten exportiert werden; sobald das Fenster schließt, läuft die Bereinigung und der Cascade löscht Request Logs, Guardrail-Matches, Firewall-Events und Agent-Trace-Knoten, die an das Subjekt gebunden sind. Das Recht auf Löschung ist daher keine separate Aufbewahrungseinstellung — es ist eine stärkere, vom Subjekt initiierte Löschung, die das zeitbasierte Fenster außer Kraft setzt.
Die 30-Tage-Löschungsgnade ist ein Wiederherstellungsfenster, keine zusätzliche Log-Aufbewahrung. Daten darin sind soft-gelöscht und exportierbar, aber sie sind auf einem Einbahnpfad zur Bereinigung. Planen Sie Exporte, bevor das Fenster schließt.
Siehe Recht auf Löschung für die vollständige DSAR-Mechanik — Gnade, Bereinigung und was der Cascade berührt.

5. Wie dies ein Framework erfüllt

Die meisten Datenschutzregimes verlangen zwei nachweisbare Dinge: einen definierten Aufbewahrungszeitraum und einen funktionierenden Löschungspfad. Der Aufbewahrungsregler und der Löschungs-Cascade sind genau diese zwei Kontrollen, und ein Compliance-Pack mappt sie in den Nachweis des Frameworks, sodass ein Report ihren Zustand lesen kann. Installieren Sie ein Pack, und dasselbe Aufbewahrungs- und Löschungsverhalten wird in Ihrer Readiness-Ansicht referenziert — keine separate Konfiguration.

Ein Pack installieren

Materialisieren Sie die Kontrollen eines Frameworks; Aufbewahrung und Löschung sind Teil der Datenschutz-Story, die es erwartet.

Frameworks

Der Live-Katalog — GDPR, CCPA, HIPAA und die regionalen Datenschutzregimes, die die Aufbewahrung pinnen.

6. Wo dies hineinpasst

Recht auf Löschung

Selbstlöschung, die 30-Tage-Gnade, die PII-Bereinigung und der Löschungs-Cascade.

Einwilligung

Die aufgezeichnete Bestätigung, die erforderlich ist, bevor die Request-Log-Erfassung einschaltet.

Datenresidenz

Wo signierter Compliance-Nachweis gespeichert und ausgeliefert wird — eine separate Region-Kontrolle von der Aufbewahrung.

Geteilte Verantwortung

Das Gateway setzt die Aufbewahrung durch, die Sie setzen; das Fenster und die Löschungs-Kadenz zu wählen bleibt Ihnen.
Die Aufbewahrung auf OrcaRouter ist ein ehrlicher Regler mit einem Default und einer harten Obergrenze: Aktivieren Sie die Erfassung nur, wenn Sie sie brauchen, halten Sie das Fenster kurz und lassen Sie das Gateway die Bodies altern lassen — mit der Löschung in Bereitschaft für den Moment, in dem ein Subjekt Sie bittet, es vollständig zu vergessen.