Passer au contenu principal
Lorsqu’un relecteur de conformité demande « qui a changé cette politique firewall, et quand ? », la réponse est une ligne dans le log d’audit de votre espace de travail. Chaque mutation qui touche une ressource gouvernée — une politique firewall, une règle, un guardrail, un prompt, une décision d’approbation, le rôle d’un membre — écrit une ligne d’audit immuable estampée de l’acteur, de la cible, de l’horodatage, et d’un verbe d’action stable. Cette page est la table de consultation de ces verbes : l’ensemble complet des actions du log d’audit, groupées par la ressource qu’elles décrivent, afin que vous puissiez filtrer la piste exactement aux événements dont vous avez besoin.
Une ligne d’audit enregistre qui a fait quoi à quelle ressource. Elle ne porte jamais de valeurs de secret, de texte en clair de clé de passerelle, de blobs de règle, ou de corps de prompt — le payload est uniquement des métadonnées sûres (ids, noms, verdict, stage, is_default). Pour la piste d’application de ce qu’une politique a fait au trafic en direct — appels d’outils refusés, PII masquée — voir les flux Événements firewall et Correspondances de guardrail, qui sont un store distinct de ce log d’audit.

1. Ce que couvre le catalogue des actions du log d’audit

Deux choses écrivent dans la piste d’audit, et il aide de les garder distinctes :
  • Log d’audit — cette page. Un enregistrement append-only des changements de configuration et de gouvernance : une politique éditée, un membre invité, une approbation résolue. Estampé du verbe d’action, de l’acteur, et du moment où il a été committé, après que le changement réussit.
  • Flux d’application — les flux Événements firewall et Correspondances de guardrail. L’enregistrement de chaque décision à l’exécution que la passerelle a prise sur une requête. Volume plus élevé, store différent.
Les verbes d’action ci-dessous sont des chaînes stables en lower-snake-case. Ils survivent aux renommages dans la console, se grep proprement dans un export, et sont ce sur quoi vous filtrez quand vous tranchez la piste par type d’événement.
Chaque écriture gouvernée émet sa ligne d’audit dans la même transaction que le changement, de sorte que la piste ne peut jamais dériver de la réalité — il n’y a pas de fenêtre « l’édition a été committée mais pas la ligne d’audit ».

2. Les actions du log d’audit, groupées par ressource

OrcaRouter livre un catalogue fixe de verbes d’action. Ceux que vous rédigez au quotidien tombent dans les groupes ci-dessous.
Chaque create / update / delete sur une politique firewall ou l’une de ses règles, plus les changements de réglages au niveau de l’espace de travail :firewall_policy_create · firewall_policy_update · firewall_policy_delete · firewall_rule_create · firewall_rule_update · firewall_rule_delete · firewall_settings_updateLes payloads de politique portent {id, name, is_default, default_verdict, enabled} ; les payloads de règle portent {id, policy_id, verdict, stage, tool_name_glob, priority}. Jamais le blob de règle complet.
Le sélecteur d’autonomie en un clic (tight / balanced / permissive) écrit une ligne lorsqu’il est appliqué et une lorsqu’il est annulé :firewall_autonomy_applied · firewall_autonomy_undoneLa ligne applied porte le snapshot d’annulation pré-application dans son payload, qui est exactement ce à partir de quoi l’annulation en un clic reconstruit.
Lorsqu’un relecteur résout un appel d’outil en attente (un verdict pending_approval), la décision est enregistrée :firewall_approval_approve · firewall_approval_rejectLe payload note si la décision est venue via la console ou un callback webhook hors-bande — jamais les arguments de l’outil.
Actions sur l’ensemble d’outils gouverné d’un serveur MCP enregistré — lorsque son ensemble d’outils en direct s’avère différer de l’ensemble approuvé, lorsqu’un admin ré-approuve l’ensemble actuel, et lorsqu’un admin met un serveur en quarantaine :firewall_mcp_schema_changed · firewall_mcp_schema_approved · firewall_mcp_schema_quarantinedLe payload est {mcp_server_id, name, tool_count} — jamais les arguments d’outils ni les identifiants.
Piste forensique pour le registre de prompts — créer, éditer, soft-delete (Corbeille), hard-delete (Purge), restaurer, déplacement de label, rollback de version, et import depuis un fournisseur connecté :prompt_created · prompt_updated · prompt_deleted · prompt_purged · prompt_restored · prompt_label_moved · prompt_rollback · prompt_importedLes payloads ne sérialisent que des métadonnées sûres (id, name, kind, tags) — jamais le contenu du prompt ni les messages.
Événements de cycle de vie et d’adhésion sur l’espace de travail lui-même — création, archivage, invitations, changements de rôle, retraits, recharges de portefeuille, et changements de siège / groupe / statut :workspace_create · workspace_archive · invite · invite_resend · invite_revoke · accept · member_leave · role_change · remove · workspace_topup · group_change · seats_limit_change · status_change · workspace_promote_to_team
Les éditions de guardrail conservent leur propre historique de versions par guardrail — une piste diff-and-revert attachée à chaque politique — en plus du log d’audit. Quand vous avez besoin de revenir en arrière sur un changement de politique de contenu, cet historique est la surface à utiliser.

3. Un exemple concret : tracer un changement de politique firewall

Disons qu’un coéquipier a assoupli une règle de deny la semaine dernière et que vous avez besoin de savoir exactement ce qui a changé. Ouvrez le tiroir d’audit de l’espace de travail dans la console et filtrez par l’action firewall_rule_update. Chaque ligne correspondante vous donne la même forme :
ChampCe qu’il vous dit
Actionfirewall_rule_update — le verbe sur lequel vous avez filtré.
ActeurLe membre qui a fait le changement.
CibleLes {id, policy_id} de la règle et ses nouveaux verdict, stage, tool_name_glob, priority.
C’est suffisant pour reconstruire l’avant/après de la règle sans jamais exposer ses clauses de correspondance complètes. Si le changement était plutôt un basculement de niveau d’autonomie, filtrez sur firewall_autonomy_applied et la ligne porte le snapshot à partir duquel l’annulation en un clic restaure.
Filtrer par un seul verbe d’action est la manière la plus rapide de répondre à une question ponctuelle (« quand avons-nous activé l’auto-approbation ? », « qui a supprimé cette politique ? »). Les verbes sont des chaînes stables, donc un filtre sauvegardé continue de fonctionner à travers les refontes de console.

4. Portée, rétention & effacement

À portée d'espace de travail

Chaque ligne d’audit appartient à exactement un espace de travail et n’est lisible qu’en son sein — rien ne franchit la frontière de tenant. L’acteur, la cible, et le payload sont tous scopés à cet espace de travail. Voir Portée, clés et politiques.

Rétention

Les lignes d’audit sont conservées jusqu’à 180 jours, puis expirées par un nettoyage en arrière-plan. Vos logs de requête sont un store séparé avec leur propre rétention — un défaut de 30 jours, plafonné côté serveur à un maximum dur de 180 jours.

Droit à l'effacement

Sur une suppression d’espace de travail ou une demande d’effacement explicite, OrcaRouter accorde une fenêtre de grâce de 30 jours, puis efface la PII des logs et des enregistrements d’audit pour cet espace de travail. Voir le glossaire.

Preuve de conformité

La piste d’audit est l’un des signaux sur lesquels un pack de conformité s’appuie pour un rapport de préparation signé. Les rapports sont signés Ed25519 et vérifiables publiquement.
Ne vous tournez pas vers le log d’audit pour répondre à « cette requête a-t-elle été bloquée ? » — cela vit dans les flux d’application, pas ici. Le log d’audit répond à « cette politique a-t-elle été changée, et par qui ? ». Ce sont des stores délibérément séparés avec une rétention différente et des chemins d’accès différents. Voir Pourquoi a-ce été bloqué ? pour le côté exécution.

5. Où aller ensuite

Observabilité du Firewall

Les flux events, runs, et discovered-tools — l’enregistrement d’application à l’exécution qui complète cette piste de configuration.

Glossaire des verdicts

Chaque verdict firewall et action de guardrail que la piste référence, avec statut HTTP et impact sur le quota.

API Compliance

Transformez la piste en un rapport de préparation signé et partageable avec un auditeur.

Portée, clés & politiques

Comment la portée d’espace de travail borne ce qu’une seule ligne d’audit peut jamais exposer.