跳轉到主要內容
當一個合規性審查者問「誰更改了這條防火牆政策,何時更改的?」時, 答案是你工作區稽核日誌中的一列。每個觸及 受治理資源的變更——一條防火牆政策、一條規則、一個防護欄、一個提示詞、一個審批 決定、一個成員的角色——都寫入一條不可變的稽核列,蓋印著行動者、 目標、時間戳記,以及一個穩定的動作動詞。本頁是那些 動詞的查找表:稽核日誌動作的完整集合,按它們描述的 資源分組,以便你可以把軌跡過濾到你確切 需要的事件。
一條稽核列記錄誰對哪個資源做了什麼。它從不攜帶密鑰 值、閘道金鑰明文、規則 blob 或提示詞主體——負載是 安全的元資料(id、名稱、裁決、階段、is_default)。關於一條政策對即時流量 做了什麼的強制執行軌跡——被拒絕的工具呼叫、被遮罩的 PII—— 參見防火牆事件防護欄 Matches動態,它們是 與此稽核日誌分開的儲存。

1. 稽核日誌動作目錄涵蓋什麼

兩種東西寫入稽核軌跡,把它們分開有助於理解:
  • 稽核日誌——本頁。設定與治理變更的 僅追加記錄:一條政策被編輯、一個成員被邀請、一個審批被解析。 蓋印著動作動詞、行動者,以及它提交的時刻, 變更成功之後。
  • 強制執行動態——防火牆事件防護欄 Matches動態。閘道對請求所做的每個執行期 決定的記錄。更高的量、不同的儲存。
下方的動作動詞是穩定的小寫蛇形字串。它們在控制台中 經得起重新命名、在匯出中乾淨地 grep,並且是你在 按事件類型切分軌跡時所過濾的對象。
每次受治理的寫入都在與變更相同的交易中發出其稽核列, 所以軌跡永遠不會偏離現實——不存在「編輯 提交了但稽核列沒有」的窗口。

2. 稽核日誌動作,按資源分組

OrcaRouter 出貨一個固定的動作動詞目錄。你日常撰寫的那些 落入下方的群組。
防火牆政策或其 規則之一的每次建立/更新/刪除,加上 工作區層級設定變更:firewall_policy_create · firewall_policy_update · firewall_policy_delete · firewall_rule_create · firewall_rule_update · firewall_rule_delete · firewall_settings_update政策負載攜帶 {id, name, is_default, default_verdict, enabled}; 規則負載攜帶 {id, policy_id, verdict, stage, tool_name_glob, priority}。絕不攜帶完整的規則 blob。
一鍵自主選擇器tight / balanced / permissive)在套用時寫一列,在 還原時寫一列:firewall_autonomy_applied · firewall_autonomy_undoneapplied 列在其負載中攜帶套用前的還原快照,這正是 一鍵還原從中重建的對象。
當審查者解析一個被保留的工具呼叫(一個 pending_approval裁決)時, 該決定被記錄:firewall_approval_approve · firewall_approval_reject負載註明決定是經由控制台還是一個頻道外的 webhook 回呼而來——絕不含工具 引數。
對一個已登錄的 MCP 伺服器受治理工具 集的動作——當其即時工具集被發現與已核准集不同時、當一個 管理員重新核准當前集時,以及當一個管理員隔離一個伺服器時:firewall_mcp_schema_changed · firewall_mcp_schema_approved · firewall_mcp_schema_quarantined負載是 {mcp_server_id, name, tool_count}——絕不含工具引數或 憑證。
提示詞登錄的鑑識軌跡——建立、編輯、 軟刪除(Trash)、硬刪除(Purge)、還原、標籤移動、版本 回滾,以及從連接的供應商匯入:prompt_created · prompt_updated · prompt_deleted · prompt_purged · prompt_restored · prompt_label_moved · prompt_rollback · prompt_imported負載只序列化安全元資料(id、name、kind、tags)——絕不含 提示詞內容或訊息。
工作區本身上的生命週期和成員資格事件——建立、封存、 邀請、角色變更、移除、錢包儲值,以及席位/群組/狀態 變更:workspace_create · workspace_archive · invite · invite_resend · invite_revoke · accept · member_leave · role_change · remove · workspace_topup · group_change · seats_limit_change · status_change · workspace_promote_to_team
防護欄編輯保留它們自己的每防護欄 版本歷史——附加到每條政策的 對比與還原軌跡——以及稽核日誌。當你需要 回滾一個內容政策變更時,那個歷史是要使用的表面。

3. 一個具體範例:追溯一次防火牆政策變更

假設一個隊友上週放鬆了一條拒絕規則,而你需要確切知道什麼 變了。打開控制台中的工作區稽核抽屜並按 firewall_rule_update 動作過濾。每個匹配的列給你相同的形狀:
欄位它告訴你什麼
Actionfirewall_rule_update——你過濾的動詞。
Actor做出變更的成員。
Target規則的 {id, policy_id} 及其新的 verdictstagetool_name_globpriority
那足以重建規則的前後狀態,而完全不暴露 其完整的匹配子句。如果變更改為一次自主等級切換,過濾 firewall_autonomy_applied,該列攜帶 一鍵還原從中還原的快照。
按單一動作動詞過濾是回答時間點問題 (「我們何時開啟了自動核准?」、「誰刪除了那條政策?」)最快的方式。 動詞是穩定字串,所以一個儲存的過濾器在控制台 重新設計後仍然有效。

4. 範圍、保留與抹除

工作區範圍化

每條稽核列恰好屬於一個工作區,且僅在其內可讀 ——沒有任何東西跨越租戶邊界。行動者、目標和負載 全部範圍化到那個工作區。參見 範圍、金鑰與政策

保留

稽核列保留最多 180 天,然後由背景 清理老化淘汰。你的請求日誌是一個有自己保留的單獨儲存—— 30 天預設,伺服器夾住到 180 天硬性上限。

被遺忘權

在工作區刪除或明確抹除請求時,OrcaRouter 給予一個 30 天寬限窗口,然後從那個工作區的日誌和稽核記錄中清除 PII。參見 詞彙表

合規性證據

稽核軌跡是一個 合規性包為簽署就緒度報告 取用的訊號之一。報告是 Ed25519 簽署且可公開驗證。
別用稽核日誌來回答「這個請求被封鎖了嗎?」——那 存在於強制執行動態中,不在這裡。稽核日誌回答「這條 政策被更改了嗎,被誰?」。它們是刻意分開的儲存,有 不同的保留和不同的存取路徑。執行期那一面參見 為何被攔下?

5. 接下來去哪裡

防火牆可觀測性

事件、執行和已發現工具動態——補充此設定軌跡的 執行期強制執行記錄。

裁決詞彙表

軌跡引用的每個防火牆裁決和防護欄動作,附帶 HTTP 狀態和配額影響。

合規性 API

把軌跡轉化為一份簽署、可與稽核員分享的就緒度報告。

範圍、金鑰與政策

工作區範圍化如何界定任何單一稽核列所能暴露的範圍。