Passer au contenu principal
Quand un agent se déchaîne à travers une douzaine d’outils MCP, la question qui compte après coup n’est jamais « cet outil-ci est-il sûr » — c’est « qu’a réellement appelé l’agent, qu’a décidé le firewall, et quelle règle a fait cet appel ». OrcaRouter répond à cela depuis un seul endroit : le journal d’audit mcp. Chaque tools/call que la passerelle MCP évalue sur la surface mcp atterrit comme un événement firewall — verdict, outil, règle correspondante, et le run d’agent qui l’a émis — de sorte que vous pouvez surveiller une session en direct ou la reconstruire plus tard. Cette page est le guide ciblé pour lire cette trace. Pour la passerelle elle-même, le vocabulaire des verdicts, et le DSL de règle, voir Firewall et Firewall : serveurs MCP.
Chaque lecture ici se configure depuis la console (ou l’API REST avec votre token de session/d’accès — UserAuth) et est soumise à des rôles. Seuls les appels relais /v1/* et les routes de la passerelle firewall portent une clé de style sk-orca-....

1. Ce que le journal d’audit mcp enregistre

Chaque appel d’outil MCP produit un événement firewall sur la surface mcp. L’événement porte ce dont vous avez besoin pour répondre à « qui a appelé quoi, et qu’a fait la politique » — et rien de ce qu’il ne devrait pas (les arguments d’outils sont redactés, voir §4).
verdict (allow / audit / deny / sanitize / pending_approval / observe), surface (mcp ici), policy_name, rule_label, et un reason lisible. Un drapeau quarantine marque un appel retenu parce que le skill propriétaire est en mode quarantaine.
tool_name (en namespace <server>.<tool>), skill_name quand l’appel est attribuable à un skill enregistré, model_name, et token_name.
agent_run_id, conversation_id, et request_id — les clés que vous utilisez pour regrouper les appels d’une session ou descendre d’une requête vers chaque appel qu’elle a essaimé.
Un drapeau gap marque un appel en mode observe que votre politique attachée a vu mais qu’aucune règle n’a fait correspondre — le signal que la vue Outils Découverts utilise pour faire remonter les outils que votre politique ne couvre pas encore.

2. Lire le flux

L’onglet Events de la console est la vue principale. Pour tirer les mêmes données programmatiquement, listez les événements avec votre token d’accès et filtrez sur la surface mcp : 
# Route console (UserAuth). Lire les événements requiert Developer+.
curl "https://api.orcarouter.ai/api/workspace/firewall/events?surface=mcp&verdict=deny,pending_approval" \
  -H "Authorization: Bearer <your-access-token>"
Le filtre verdict accepte une seule valeur ou un ensemble séparé par des virgules (le preset « refus + attentes » ci-dessus). Un événement d’exemple : 
{
  "created_at": 1700000000,
  "surface": "mcp",
  "tool_name": "github.create_issue",
  "verdict": "deny",
  "policy_name": "Coding agent",
  "rule_label": "no writes to prod org",
  "reason": "rule matched: no writes to prod org",
  "agent_run_id": "run_8f3a",
  "model_name": "claude-sonnet-4-5",
  "token_name": "ci-agent"
}
Pour reconstruire le fan-out complet d’une requête — chaque outil que le modèle a appelé sous une seule requête relais — descendez par request id : 
curl "https://api.orcarouter.ai/api/workspace/firewall/events/by-request/<request_id>" \
  -H "Authorization: Bearer <your-access-token>"
Pour un rollup au niveau session plutôt que des lignes brutes, frappez GET /api/workspace/firewall/events/aggregate?group_by=run (ou group_by=session) — une ligne par run d’agent avec une ventilation par verdict, les outils distincts, et le premier/dernier vu. Les endpoints de trace (/trace/runs, /trace/by-run) reconstruisent l’arbre d’appels du run.

3. Lignes d’audit de gouvernance de serveur

Les événements par appel vous disent ce que l’agent a fait. Une seconde trace, plus petite, vous dit ce que vous avez fait à la gouvernance d’un serveur — et c’est là que vit l’histoire du rug pull. Quand un sondage constate que l’ensemble d’outils annoncé d’un serveur enregistré a dérivé, et qu’un admin le re-baselinise ou le met en quarantaine, cette décision est écrite dans le journal d’audit d’espace de travail :
Action d’auditÉcrite quand
firewall_mcp_schema_changedUn sondage constate que l’ensemble d’outils en direct a dérivé par rapport à celui approuvé.
firewall_mcp_schema_approvedUn admin re-baselinise sur le nouvel ensemble d’outils.
firewall_mcp_schema_quarantinedUn admin met en quarantaine (et désactive) un serveur ayant dérivé.
Chaque ligne porte l’id, le nom et le compte d’outils du serveur — jamais les arguments d’outils ni les credentials. C’est la trace forensique derrière la Défense contre le rug pull : un serveur que vous avez approuvé lundi ne peut pas se doter silencieusement d’un outil shell.exec vendredi sans laisser une ligne ici.
Les changements de politique, de règle, et de réglages firewall écrivent leurs propres lignes d’audit aux côtés de celles-ci. Quand un admin de plateforme fait le changement, il atterrit aussi dans le journal d’audit admin central (GET /api/admin/audit-logs, admin uniquement) ; l’édition d’un membre régulier reste dans la trace d’espace de travail.

4. Les arguments sont redactés par défaut

Le flux d’événements est conçu pour être lisible par votre équipe sans faire fuiter de secrets. Les arguments d’appel d’outil ne sont jamais stockés verbatim — un événement porte au plus un args_summary plafonné et redacté, et le hash d’argument brut utilisé pour le regroupement d’anomalies ne quitte jamais le serveur.
Parce que les événements portent cet instantané d’argument assaini, les endpoints d’événements, d’agrégat et de trace sont à portée Developer+ — un membre de rôle Viewer peut lire les politiques et outils découverts mais pas la provenance d’appel d’outil d’un autre membre. Planifiez vos rôles en conséquence.

5. Surveillance en direct : anomalies

Lire après coup est une moitié ; l’autre est d’être prévenu pendant que cela se produit. Le flux d’anomalies surveille MCP (et toutes les autres surfaces) pour repérer un comportement qui rompt avec le référentiel appris de l’espace de travail — pics de débit et de coût contre un profil heure-de-la-semaine, boucles de réessai, et chemins d’outils inédits — et les fait remonter sans que vous rédigiez une seule règle. 
# Le flux d'anomalies est ouvert à tout Member.
curl "https://api.orcarouter.ai/api/workspace/firewall/anomalies?window=5m" \
  -H "Authorization: Bearer <your-access-token>"
Un signal bruyant peut être mis en sommeil (jusqu’à 7 jours) pour qu’il cesse d’encombrer le flux sans être réduit au silence de façon permanente. La lecture d’anomalies est ouverte aux Member — plus large que le flux d’événements — parce qu’elle porte le signal, pas les arguments.
Associez le flux au mode shadow : déployez une politique resserrée en audit-uniquement, surveillez les refus potentiels dans le flux d’événements (reason préfixé [shadow] would …), et promouvez-la une fois que le flux est calme.

6. Rétention et effacement

Les événements firewall expirent automatiquement — ce n’est pas un stockage permanent, c’est une fenêtre de surveillance glissante. Les lignes d’audit d’espace de travail (la trace de gouvernance de serveur dans §3) sont conservées jusqu’à 180 jours. Et quand un utilisateur est supprimé, le cycle grâce-puis-purge cascade à travers les événements et correspondances firewall pour que la trace d’appels d’outils d’un utilisateur parti ne s’attarde pas.
Les contrôles de résidence des données et de rétention vivent dans le plan conformité. Le journal d’audit mcp hérite de la posture de rétention de l’espace de travail ; vous ne le configurez pas par serveur.

7. Où aller ensuite

Aperçu de la sécurité MCP

Toute la surface de gouvernance MCP — passerelle, verdicts, skills, egress.

Défense contre le rug pull

Les événements de dérive de §3, de bout en bout : détecter, re-baseliner, mettre en quarantaine.

Lister les outils MCP autorisés

Transformer ce que montre le journal d’audit en une politique de refus par défaut.

Firewall : serveurs MCP

La référence complète des champs et des routes.
Nouveau sur le modèle ? Voir Comment OrcaRouter inspecte pour savoir où les événements sont émis dans le chemin d’évaluation, et Agence excessive pour la menace qu’une piste d’audit propre vous aide à attraper tôt.