Перейти к основному содержанию
Когда вы включаете захват логов запросов для разбора, вы храните тела промптов и ответов — ровно те данные, которые регламент приватности просит хранить не дольше, чем нужно. OrcaRouter даёт вам одну ручку на рабочее пространство для этого: окно удержания со здравым дефолтом и жёстким потолком, который применяет сервер, так что захват, о котором вы забыли, устаревает, а не накапливается вечно. Эта страница покрывает, как работает эта ручка и как она связана с удалением. По поводу более широкой истории доказательств начните с Обзора комплаенса.

1. Почему удержание логов llm важно на шлюзе

Захват логов запросов — opt-in, выключен, пока вы явно его не включите, и шлюзован за записанным подтверждением согласия — потому что включение его персистирует полный текст промптов и ответов. Как только он включён, вопрос, который задают аудиторы, не логируете ли вы, а как долго вы это храните. 30-дневный дефолт держит полезный след для разбора; принудительный сервером 180-дневный потолок означает, что никакой клиентский запрос, как бы ни был подделан, не может держать тела сверх вашего предела комплаенса.
Удержание применяется к захваченным логам запросов (opt-in телам промптов/ответов). Записи метеринга и биллинга, а также подписанные отчёты комплаенса, описанные в Подписанном отчёте, следуют своим собственным жизненным циклам — эта страница о таймере захваченных логов.

2. Два числа

По умолчанию: 30 дней

Свежевключённый захват удерживает тела 30 дней. Оставьте поле удержания неустановленным, и каждое рабочее пространство наследует это.

Жёсткий максимум: 180 дней

Сервер ограничивает любое запрошенное удержание до 180 дней. Запросите больше, и значение молча снижается до предела — это не ошибка, это потолок.
Жёсткий потолок — 180 дней: значение выше 180 ограничивается до 180, а значение 0 (или неустановленное) означает унаследовать дефолт — который разрешается в 30 дней. Дефолты и живой потолок читаемы из публичной нагрузки статуса, так что панель настроек может отрендерить правильные границы: 
GET /api/status
Ответ несёт request_log_default_retention_days, request_log_max_retention_days и request_log_default_enabled — эффективные границы, которые ваша консоль читает перед показом ввода.

3. Установка удержания (один конкретный поток)

Удержание — это настройка рабочего пространства, настраиваемая из консоли под Settings → Privacy. Любой участник может её прочитать; изменение её требует роли Admin рабочего пространства. Консоль управляет этим маршрутом управления вашей сессией (маршрут UserAuth — не релейный ключ), так что вы никогда не помещаете ключ sk-orca-... в вызов настроек: 
PUT /api/workspaces/:id/request-log-settings
Authorization: Bearer <your console session>

{
  "request_log_enabled": true,
  "request_log_retention_days": 60
}
Несколько правил, которые сервер применяет на этом вызове:
request_log_enabled — это тумблер-указатель. Опустите его, и сохранённое значение остаётся нетронутым; отправьте true/false, чтобы его переключить. Включение захвата on требует текущего, не отозванного подтверждения согласия — запись согласия авторитетна на сервере и никогда не читается из клиентского JSON. См. Согласие.
request_log_retention_days — целое число полных дней, ограниченное [1, 180]. 0 означает «оставить существующее значение» (или унаследовать системный дефолт ниже по потоку); 200 становится 180.
Нечего запускать по расписанию. Захваченные тела за окном удержания удаляются шлюзом; вы настраиваете окно, шлюз его применяет.
Позиция наименьшего риска — очевидная: оставьте захват выключенным, если вы активно не разбираетесь, а когда включаете, установите кратчайшее удержание, которое всё ещё покрывает ваш цикл отладки. 30-дневный дефолт уже консервативен.

4. Удержание vs. удаление

Удержание устаревает захваченные логи в обычном ходе вещей. Удаление — это путь по запросу для запроса субъекта данных (DSAR) или закрытия аккаунта — и оно дотягивается дальше таймера логов:
ТриггерОкноЗатем
Захваченный лог за пределом удержаниядо 180 днейлог удалён
Само-удаление аккаунта30-дневное льготное окновычистка PII + каскадная очистка
Само-удаление мягко удаляет аккаунт немедленно и планирует необратимую вычистку PII на 30 дней позже. В течение этого льготного окна аккаунт ещё можно восстановить, а его данные экспортировать; как только окно закрывается, вычистка запускается, и каскад очищает логи запросов, совпадения guardrail, события firewall и узлы трассировки агента, привязанные к субъекту. Право на удаление поэтому не является отдельной настройкой удержания — это более сильная, инициированная субъектом очистка, которая замещает основанное на времени окно.
30-дневное льготное окно удаления — это окно восстановления, а не дополнительное удержание логов. Данные внутри него мягко удалены и экспортируемы, но они на одностороннем пути к вычистке. Планируйте экспорты до того, как окно закроется.
См. Право на удаление для полной механики DSAR — льготное окно, вычистка и то, что затрагивает каскад.

5. Как это удовлетворяет фреймворк

Большинство режимов приватности просят две демонстрируемые вещи: определённый период удержания и рабочий путь удаления. Ручка удержания и каскад удаления — ровно эти два контроля, и пакет комплаенса сопоставляет их в доказательства фреймворка, так что отчёт может прочитать их состояние. Установите пакет, и то же поведение удержания и удаления ссылается в вашем представлении готовности — без отдельной конфигурации.

Установка пакета

Материализуйте контроли фреймворка; удержание и удаление — часть истории приватности, которую он ожидает.

Фреймворки

Живой каталог — GDPR, CCPA, HIPAA и региональные режимы приватности, которые фиксируют удержание.

6. Куда это вписывается

Право на удаление

Само-удаление, 30-дневное льготное окно, вычистка PII и каскад очистки.

Согласие

Записанное подтверждение, требуемое до включения захвата логов запросов.

Резидентность данных

Где хранятся и отдаются подписанные доказательства комплаенса — отдельный от удержания контроль региона.

Разделённая ответственность

Шлюз применяет удержание, которое вы установили; выбор окна и ритма удаления остаётся вашим.
Удержание в OrcaRouter — это одна честная ручка с дефолтом и жёстким потолком: включайте захват только когда он нужен, держите окно коротким и дайте шлюзу устареть тела — с удалением наготове на момент, когда субъект попросит вас забыть их полностью.