Chuyển đến nội dung chính
Khi bạn bật nắm bắt request-log để khắc phục sự cố, bạn đang lưu các thân prompt và response — chính là dữ liệu mà một quy định riêng tư yêu cầu bạn không giữ lâu hơn mức bạn cần. OrcaRouter cho bạn một núm đơn lẻ theo-workspace cho việc đó: một cửa sổ lưu giữ với một mặc định hợp lý và một trần cứng mà server thực thi, nên một lần nắm bắt bạn quên sẽ già đi thay vì tích lũy mãi mãi. Trang này bao quát cách núm đó hoạt động và cách nó buộc vào việc xóa. Về câu chuyện bằng chứng rộng hơn, hãy bắt đầu tại Tổng quan compliance.

1. Vì sao lưu giữ llm log quan trọng trên một gateway

Nắm bắt request-log là chọn-tham-gia, tắt cho đến khi bạn bật nó tường minh, và bị kiểm soát sau một xác nhận đồng thuận đã ghi — vì bật nó persist toàn bộ văn bản prompt và response. Một khi nó bật, câu hỏi mà các auditor hỏi không phải liệu bạn log, mà bao lâu bạn giữ nó. Một mặc định 30 ngày giữ một dấu vết khắc phục sự cố hữu ích; một trần 180 ngày do server thực thi nghĩa là không request client nào, dù bị giả mạo thế nào, có thể giữ các thân quá mức trần compliance của bạn.
Lưu giữ áp dụng cho các request log đã nắm bắt (các thân prompt/response chọn-tham-gia). Các bản ghi đo lường và billing, và các báo cáo compliance có chữ ký được mô tả trong Báo cáo có chữ ký, theo vòng đời của riêng chúng — trang này là về đồng hồ log-đã-nắm-bắt.

2. Hai con số

Mặc định: 30 ngày

Một lần nắm bắt vừa bật giữ các thân trong 30 ngày. Để trống trường lưu giữ và mọi workspace kế thừa cái này.

Tối đa cứng: 180 ngày

Server kẹp bất kỳ lưu giữ yêu cầu nào về 180 ngày. Yêu cầu nhiều hơn và giá trị bị âm thầm giảm về mức trần — nó không phải lỗi, nó là một trần.
Trần cứng là 180 ngày: một giá trị trên 180 kẹp ở 180, và một giá trị 0 (hoặc không đặt) nghĩa là kế thừa mặc định — phân giải về 30 ngày. Các mặc định và trần trực tiếp đọc được từ payload status công khai để một bảng cài đặt có thể render các giới hạn đúng: 
GET /api/status
Phản hồi mang request_log_default_retention_days, request_log_max_retention_days, và request_log_default_enabled — các giới hạn hiệu lực mà console của bạn đọc trước khi hiển thị input.

3. Đặt lưu giữ (một luồng cụ thể)

Lưu giữ là một thiết lập workspace, cấu hình từ console dưới Settings → Privacy. Bất kỳ thành viên nào cũng có thể đọc nó; thay đổi nó yêu cầu vai trò Admin workspace. Console điều khiển route quản lý này bằng session của bạn (một route UserAuth — không phải một relay key), nên bạn không bao giờ đặt một key sk-orca-... trong một cuộc gọi cài đặt: 
PUT /api/workspaces/:id/request-log-settings
Authorization: Bearer <your console session>

{
  "request_log_enabled": true,
  "request_log_retention_days": 60
}
Một vài quy tắc server thực thi trên cuộc gọi này:
request_log_enabled là một toggle con trỏ. Bỏ qua nó và giá trị đã lưu được để nguyên; gửi true/false để chuyển tiếp nó. Bật nắm bắt on yêu cầu một xác nhận đồng thuận hiện tại, chưa thu hồi — bản ghi đồng thuận có thẩm quyền ở server và không bao giờ được đọc từ client JSON. Xem Đồng thuận.
request_log_retention_days là một số nguyên ngày-trọn, kẹp về [1, 180]. Một 0 nghĩa là “để nguyên giá trị hiện có” (hoặc kế thừa mặc định hệ thống ở hạ nguồn); 200 trở thành 180.
Không có gì để chạy theo lịch. Các thân đã nắm bắt quá cửa sổ lưu giữ được gateway loại bỏ; bạn cấu hình cửa sổ, gateway thực thi nó.
Tư thế ít rủi ro nhất là cái hiển nhiên: để nắm bắt tắt trừ khi bạn đang tích cực khắc phục sự cố, và khi bạn bật nó, hãy đặt lưu giữ ngắn nhất vẫn bao phủ vòng debug của bạn. Mặc định 30 ngày đã thận trọng rồi.

4. Lưu giữ so với xóa

Lưu giữ làm các log đã nắm bắt già đi theo lộ trình thông thường. Xóa là đường theo-yêu-cầu cho một yêu cầu chủ thể dữ liệu (DSAR) hoặc một lần đóng tài khoản — và nó vươn xa hơn đồng hồ log:
Kích hoạtCửa sổSau đó
Log đã nắm bắt quá lưu giữtối đa 180 ngàylog bị loại bỏ
Tự xóa tài khoảnân hạn 30 ngàyscrub PII + cascade thanh lọc
Một lần tự xóa soft-delete tài khoản ngay lập tức và lên lịch một lần scrub PII không đảo ngược 30 ngày sau. Trong cửa sổ ân hạn đó tài khoản vẫn có thể được khôi phục và dữ liệu của nó xuất ra; một khi cửa sổ đóng, scrub chạy và cascade thanh lọc các request log, guardrail match, firewall event, và agent trace node buộc với chủ thể. Quyền-được-xóa do đó không phải là một thiết lập lưu giữ riêng — nó là một lần thanh lọc mạnh hơn, do-chủ-thể-khởi-tạo thay thế cửa sổ dựa-trên-thời-gian.
Ân hạn xóa 30 ngày là một cửa sổ khôi phục, không phải lưu giữ log thêm. Dữ liệu bên trong nó được soft-delete và xuất được, nhưng nó ở trên một đường một chiều tới scrub. Hãy lên kế hoạch các bản xuất trước khi cửa sổ đóng.
Xem Quyền được xóa để biết cơ chế DSAR đầy đủ — ân hạn, scrub, và những gì cascade chạm tới.

5. Cách điều này thỏa mãn một framework

Hầu hết các chế độ riêng tư yêu cầu hai thứ chứng minh được: một kỳ lưu giữ được định nghĩa và một đường xóa đang hoạt động. Núm lưu giữ và cascade xóa chính xác là hai control đó, và một compliance pack ánh xạ chúng vào bằng chứng của framework để một báo cáo có thể đọc trạng thái của chúng. Cài đặt một pack và cùng hành vi lưu giữ và xóa được tham chiếu trong chế độ xem readiness của bạn — không cần cấu hình riêng.

Cài đặt một pack

Hiện thực hóa các control của một framework; lưu giữ và xóa là một phần của câu chuyện riêng tư mà nó mong đợi.

Frameworks

Catalog trực tiếp — GDPR, CCPA, HIPAA, và các chế độ riêng tư theo khu vực ghim lưu giữ.

6. Phần này khớp vào đâu

Quyền được xóa

Tự xóa, ân hạn 30 ngày, scrub PII, và cascade thanh lọc.

Đồng thuận

Xác nhận đã ghi được yêu cầu trước khi nắm bắt request-log bật.

Data residency

Nơi bằng chứng compliance có chữ ký được lưu trữ và phục vụ — một control khu vực riêng với lưu giữ.

Trách nhiệm chia sẻ

Gateway thực thi lưu giữ bạn đặt; chọn cửa sổ và nhịp xóa vẫn thuộc về bạn.
Lưu giữ trên OrcaRouter là một núm trung thực với một mặc định và một trần cứng: bật nắm bắt chỉ khi bạn cần nó, giữ cửa sổ ngắn, và để gateway làm các thân già đi — với xóa túc trực cho khoảnh khắc một chủ thể yêu cầu bạn quên họ hoàn toàn.