Przejdź do głównej treści
Gdy recenzent compliance pyta „kto zmienił tę politykę firewalla i kiedy?”, odpowiedzią jest jeden wiersz w logu audytu twojej przestrzeni roboczej. Każda mutacja, która dotyka zarządzanego zasobu — polityki firewalla, reguły, guardraila, promptu, decyzji zatwierdzenia, roli członka — zapisuje niezmienny wiersz audytu ostemplowany aktorem, celem, znacznikiem czasu i stabilnym czasownikiem akcji. Ta strona to tabela wyszukania tych czasowników: kompletny zestaw akcji logu audytu, pogrupowanych według zasobu, który opisują, abyś mógł przefiltrować ślad do dokładnie tych zdarzeń, których potrzebujesz.
Wiersz audytu rejestruje kto co zrobił z którym zasobem. Nigdy nie niesie wartości sekretów, jawnego tekstu klucza bramy, blobów reguł ani ciał promptów — ładunek to bezpieczne metadane tylko (id, nazwy, werdykt, etap, is_default). Po egzekwujący ślad tego, co polityka zrobiła z żywym ruchem — odrzucone wywołania narzędzi, zamaskowane PII — zobacz strumienie Zdarzeń Firewall i Dopasowań Guardrail, które są osobnym magazynem od tego logu audytu.

1. Co pokrywa katalog akcji logu audytu

Dwie rzeczy zapisują do śladu audytu i pomaga trzymać je osobno:
  • Log audytu — ta strona. Rekord tylko-do-dopisywania zmian konfiguracji i zarządzania: edytowana polityka, zaproszony członek, rozstrzygnięte zatwierdzenie. Ostemplowany czasownikiem akcji, aktorem i momentem zatwierdzenia, po powodzeniu zmiany.
  • Strumienie egzekwowania — strumienie Zdarzeń Firewall i Dopasowań Guardrail. Rekord każdej decyzji czasu wykonywania, którą brama podjęła na żądaniu. Wyższy wolumen, inny magazyn.
Czasowniki akcji poniżej to stabilne łańcuchy lower-snake-case. Przeżywają zmiany nazw w konsoli, czysto grepują się w eksporcie i są tym, po czym filtrujesz, gdy kroisz ślad według typu zdarzenia.
Każdy zarządzany zapis emituje swój wiersz audytu w tej samej transakcji co zmiana, więc ślad nigdy nie może odpłynąć od rzeczywistości — nie ma okna „edycja zatwierdzona, ale wiersz audytu nie”.

2. Akcje logu audytu, pogrupowane według zasobu

OrcaRouter dostarcza stały katalog czasowników akcji. Te, które autorujesz dzień po dniu, wpadają w grupy poniżej.
Każde utworzenie / aktualizacja / usunięcie na polityce firewalla lub jednej z jej reguł, plus zmiany ustawień na poziomie przestrzeni roboczej:firewall_policy_create · firewall_policy_update · firewall_policy_delete · firewall_rule_create · firewall_rule_update · firewall_rule_delete · firewall_settings_updateŁadunki polityki niosą {id, name, is_default, default_verdict, enabled}; ładunki reguły niosą {id, policy_id, verdict, stage, tool_name_glob, priority}. Nigdy pełnego bloba reguły.
Selektor autonomii jednym kliknięciem (tight / balanced / permissive) zapisuje jeden wiersz przy zastosowaniu i jeden przy cofnięciu:firewall_autonomy_applied · firewall_autonomy_undoneWiersz applied niesie migawkę cofnięcia sprzed zastosowania w swoim ładunku, co jest dokładnie tym, z czego cofnięcie jednym kliknięciem rekonstruuje.
Gdy recenzent rozstrzyga wstrzymane wywołanie narzędzia (werdykt pending_approval), decyzja jest rejestrowana:firewall_approval_approve · firewall_approval_rejectŁadunek odnotowuje, czy decyzja przyszła przez konsolę czy poza pasmem callback webhooka — nigdy argumentów narzędzia.
Akcje na zarządzanym zestawie narzędzi zarejestrowanego serwera MCP — gdy jego żywy zestaw narzędzi okaże się różny od zatwierdzonego, gdy admin ponownie zatwierdzi bieżący zestaw i gdy admin poddaje serwer kwarantannie:firewall_mcp_schema_changed · firewall_mcp_schema_approved · firewall_mcp_schema_quarantinedŁadunek to {mcp_server_id, name, tool_count} — nigdy argumenty narzędzi ani poświadczenia.
Ślad śledczy dla rejestru promptów — utworzenie, edycja, miękkie usunięcie (Trash), twarde usunięcie (Purge), przywrócenie, przeniesienie etykiety, rollback wersji i import od podłączonego dostawcy:prompt_created · prompt_updated · prompt_deleted · prompt_purged · prompt_restored · prompt_label_moved · prompt_rollback · prompt_importedŁadunki serializują tylko bezpieczne metadane (id, name, kind, tags) — nigdy treści promptu ani wiadomości.
Zdarzenia cyklu życia i członkostwa na samej przestrzeni roboczej — utworzenie, archiwizacja, zaproszenia, zmiany ról, usunięcia, doładowania portfela oraz zmiany miejsc / grup / statusu:workspace_create · workspace_archive · invite · invite_resend · invite_revoke · accept · member_leave · role_change · remove · workspace_topup · group_change · seats_limit_change · status_change · workspace_promote_to_team
Edycje guardraili utrzymują własną historię wersji per guardrail — ślad diff-i-cofnięcie dołączony do każdej polityki — w dodatku do logu audytu. Gdy potrzebujesz wycofać zmianę polityki treści, ta historia to powierzchnia, której użyć.

3. Jeden konkretny przykład: śledzenie zmiany polityki firewalla

Powiedzmy, że kolega z zespołu rozluźnił regułę deny w zeszłym tygodniu i musisz wiedzieć dokładnie, co się zmieniło. Otwórz szufladę audytu przestrzeni roboczej w konsoli i przefiltruj po akcji firewall_rule_update. Każdy pasujący wiersz daje ci ten sam kształt:
PoleCo ci mówi
Actionfirewall_rule_update — czasownik, po którym przefiltrowałeś.
ActorCzłonek, który dokonał zmiany.
Target{id, policy_id} reguły oraz jej nowe verdict, stage, tool_name_glob, priority.
To wystarczy, by zrekonstruować stan przed/po reguły bez kiedykolwiek wystawiania jej pełnych klauzul dopasowania. Jeśli zmianą było zamiast tego przełączenie poziomu autonomii, przefiltruj po firewall_autonomy_applied, a wiersz niesie migawkę, z której cofnięcie jednym kliknięciem przywraca.
Filtrowanie po pojedynczym czasowniku akcji to najszybszy sposób na odpowiedź na pytanie w punkcie czasu („kiedy włączyliśmy auto-approve?”, „kto usunął tę politykę?”). Czasowniki to stabilne łańcuchy, więc zapisany filtr działa dalej przez redesigny konsoli.

4. Zakres, retencja i wymazanie

W zakresie przestrzeni roboczej

Każdy wiersz audytu należy do dokładnie jednej przestrzeni roboczej i jest czytelny tylko w niej — nic nie przekracza granicy najemcy. Aktor, cel i ładunek są wszystkie w zakresie tej przestrzeni roboczej. Zobacz Zakres, klucze i polityki.

Retencja

Wiersze audytu są zachowywane do 180 dni, potem przeterminowywane przez sprzątanie w tle. Twoje logi żądań to osobny magazyn z własną retencją — domyślnie 30 dni, przycięte po stronie serwera do twardego maksimum 180 dni.

Prawo do wymazania

Przy usunięciu przestrzeni roboczej lub jawnym żądaniu wymazania OrcaRouter przyznaje 30-dniowe okno karencji, a potem czyści PII z logów i rekordów audytu dla tej przestrzeni roboczej. Zobacz słownik.

Dowód compliance

Ślad audytu to jeden z sygnałów, na których pack compliance opiera podpisany raport gotowości. Raporty są podpisane Ed25519 i publicznie weryfikowalne.
Nie sięgaj do logu audytu, by odpowiedzieć „czy to żądanie zostało zablokowane?” — to żyje w strumieniach egzekwowania, nie tutaj. Log audytu odpowiada „czy ta polityka została zmieniona i przez kogo?”. Są celowo osobnymi magazynami z różną retencją i różnymi ścieżkami dostępu. Zobacz Dlaczego to zostało zablokowane? po stronę czasu wykonywania.

5. Gdzie iść dalej

Obserwowalność Firewall

Strumienie events, runs i discovered-tools — rekord egzekwowania czasu wykonywania, który uzupełnia ten ślad konfiguracji.

Słownik werdyktów

Każdy werdykt firewalla i akcja guardraila, do których ślad się odnosi, ze statusem HTTP i wpływem na kwotę.

API Compliance

Zamień ślad w podpisany, udostępnialny audytorowi raport gotowości.

Zakres, klucze i polityki

Jak zakresowanie przestrzeni roboczej ogranicza to, co pojedynczy wiersz audytu może kiedykolwiek wystawić.