1. 为什么 LLM 日志保留在网关上重要
请求日志捕获是选择性加入的,在你明确启用之前关闭,且门控 在一次记录的同意确认之后——因为打开它会持久化完整的提示词和 响应文本。一旦它开启,审计员所问的不是你是否记录,而是你 保存多久。一个 30 天的默认值保留一条有用的排障轨迹;一个 服务器执行的 180 天上限意味着任何客户端请求,无论被如何篡改, 都无法把正文保留过你的合规上限。保留适用于被捕获的请求日志(选择性加入的提示词/响应正文)。
计量和计费记录,以及 签名报告
中描述的签名合规报告,遵循它们自己的生命周期——本页讲的是
被捕获日志的时钟。
2. 两个数字
默认:30 天
一个刚启用的捕获把正文保留 30 天。把保留字段留空,每个
工作区都继承这个值。
硬性最大值:180 天
服务器把任何请求的保留钳制到 180 天。请求更多,该值就被
静默地降到上限——这不是一个错误,而是一个上限。
0(或未
设置)的值意味着继承默认值——它解析为 30 天。默认值和
实时上限可从公共状态载荷读取,于是一个设置面板可以渲染正确的
边界:
request_log_default_retention_days、
request_log_max_retention_days 和 request_log_default_enabled
——你的控制台在显示输入框之前所读取的有效边界。
3. 设置保留(一个具体流程)
保留是一个工作区设置,从控制台的 Settings → Privacy 下 配置。任何成员都能阅读它;更改它需要工作区 Admin 角色。 控制台用你的会话驱动这条管理路由(一条 UserAuth 路由——不是 中继密钥),所以你永远不会把一个sk-orca-... 密钥放进设置调用:
捕获是三态的
捕获是三态的
request_log_enabled 是一个指针开关。省略它,存储的值就保持
不变;发送 true/false 来转换它。把捕获打开需要一次
当前、未撤销的同意确认——同意记录是服务端权威的,且永远不会
从客户端 JSON 读取。参见 同意。保留钳制,从不报错
保留钳制,从不报错
request_log_retention_days 是一个整天整数,钳制到
[1, 180]。0 意味着”保留现有值”(或在下游继承系统默认);
200 变成 180。设置一次,它自行老化淘汰
设置一次,它自行老化淘汰
没有什么需要按计划运行。超过保留窗口的被捕获正文由网关移除;
你配置窗口,网关执行它。
4. 保留 vs. 擦除
保留在通常进程中老化淘汰被捕获的日志。擦除是用于数据主体 请求(DSAR)或账户关闭的按需路径——而它触及的比日志时钟更远:| 触发 | 窗口 | 然后 |
|---|---|---|
| 超过保留的被捕获日志 | 最多 180 天 | 日志被移除 |
| 账户自助删除 | 30 天宽限 | PII 清除 + 级联清理 |
5. 这如何满足一个框架
大多数隐私法规要求两个可证明的东西:一个已定义的保留期和 一条可运行的擦除路径。保留旋钮和删除级联恰好就是这两个 控制,而一个合规包把它们映射进框架的证据,于是一份报告 可以读取它们的状态。安装一个包,同样的保留和擦除行为就在你的 就绪度视图中被引用——无需单独配置。安装一个包
实体化一个框架的控制;保留和擦除是它所期望的隐私故事的一
部分。
框架
实时目录——GDPR、CCPA、HIPAA,以及钉定保留的区域隐私法规。
6. 这一切的归属
被遗忘权
自助删除、30 天宽限、PII 清除,以及清理级联。
同意
请求日志捕获打开之前所需的记录确认。
数据驻留
签名合规证据被存储和提供服务的位置——一个与保留分离的区域
控制。
责任共担
网关执行你设置的保留;选择窗口和擦除节奏仍归你。