跳转到主要内容
当一名合规审查者问 “谁更改了这条防火墙策略,何时?” 时,答案就是你工作区 审计日志里的一行。每一次触及受治理资源的改动——一条防火墙策略、一条规则、 一个防护栏、一个提示词、一次审批决策、一名成员的角色——都会写入一条不可变 的审计行,盖上执行者、目标、时间戳,以及一个稳定的动作动词(action verb)。本页是那些动词的查找表:完整的一组审计日志动作,按它们所 描述的资源分组,让你能把追踪过滤到你确切需要的那些事件。
一条审计行记录谁对哪个资源做了什么。它从不携带密钥值、网关密钥明文、 规则 blob 或提示词正文——负载只是安全的元数据(id、名称、verdict、stage、 is_default)。关于一条策略对实时流量做了什么的执行追踪——被拒绝的 工具调用、被脱敏的 PII——参见 防火墙事件防护栏 Matches 信息流,它们 是与本审计日志相分离的一个存储。

1. 这份审计日志动作目录涵盖什么

有两样东西会写入审计追踪,把它们分开有助于理解:
  • 审计日志 —— 本页。一份配置与治理变更的仅追加记录:一条策略被编辑、 一名成员被邀请、一次审批被解决。在变更成功之后,盖上动作动词、执行者 以及它提交的那一刻。
  • 执行信息流 —— 防火墙事件防护栏 Matches 信息流。网关在一个请求上做出的 每一个运行时决策的记录。更高的量级,不同的存储。
下面的动作动词是稳定的、小写蛇形(lower-snake-case)字符串。它们能挺过 控制台里的重命名、在导出中干净地 grep,并且是你按事件类型切分追踪时所 过滤的对象。
每一次受治理的写入都在与该变更同一个事务里发出它的审计行,因此追踪 永远不会与现实漂移——不存在”编辑提交了但审计行没提交”的窗口。

2. 按资源分组的审计日志动作

OrcaRouter 提供一份固定的动作动词目录。你日常编写时所用到的那些落在下面 各组里。
在一条 防火墙策略 或它的一条 规则 上的每一次创建 / 更新 / 删除, 外加工作区级别的设置变更:firewall_policy_create · firewall_policy_update · firewall_policy_delete · firewall_rule_create · firewall_rule_update · firewall_rule_delete · firewall_settings_update策略负载携带 {id, name, is_default, default_verdict, enabled};规则 负载携带 {id, policy_id, verdict, stage, tool_name_glob, priority}。 绝不携带完整的规则 blob。
一键 自治选择器tight / balanced / permissive)在应用时写一行、在撤销时写一行:firewall_autonomy_applied · firewall_autonomy_undoneapplied 那一行在它的负载里携带应用前的撤销快照,这正是一键撤销据以 重建的对象。
当一名审查者解决一次被挂起的工具调用(一个 pending_approval 判定)时, 该决策被记录:firewall_approval_approve · firewall_approval_reject负载注明该决策是经由控制台还是一次带外 webhook 回调 而来——绝不含 工具参数。
在一个已注册 MCP 服务器 的受治理工具集上的 动作——当其实时工具集被发现与已批准集不同时、当一名管理员重新批准当前 集时,以及当一名管理员隔离一个服务器时:firewall_mcp_schema_changed · firewall_mcp_schema_approved · firewall_mcp_schema_quarantined负载是 {mcp_server_id, name, tool_count}——绝不含工具参数或凭据。
提示词注册表 的取证追踪——创建、编辑、软删除 (Trash)、硬删除(Purge)、恢复、标签移动、版本回滚,以及从一个已连接 的提供商导入:prompt_created · prompt_updated · prompt_deleted · prompt_purged · prompt_restored · prompt_label_moved · prompt_rollback · prompt_imported负载只序列化安全的元数据(id、name、kind、tags)——绝不含提示词内容 或消息。
工作区自身上的生命周期和成员资格事件——创建、归档、邀请、角色变更、 移除、钱包充值,以及席位 / 群组 / 状态变更:workspace_create · workspace_archive · invite · invite_resend · invite_revoke · accept · member_leave · role_change · remove · workspace_topup · group_change · seats_limit_change · status_change · workspace_promote_to_team
除审计日志之外,防护栏编辑还保留它们自己的逐防护栏 版本历史——一条附加到每条策略的 diff-and-revert 追踪。当你需要回滚一次内容策略变更时,那个历史才是该用的 表面。

3. 一个具体例子:追踪一次防火墙策略变更

假设一位队友上周放松了一条 deny 规则,而你需要确切知道改了什么。打开 控制台里的工作区审计抽屉,并按 firewall_rule_update 动作过滤。每一条 匹配行都给你同样的形状:
字段它告诉你什么
Actionfirewall_rule_update——你过滤的那个动词。
Actor做出该变更的成员。
Target规则的 {id, policy_id} 及其新的 verdictstagetool_name_globpriority
那足以重建规则变更前/后的状态,而从不暴露它完整的匹配子句。如果这次变更 是一次自治级别切换,则改为过滤 firewall_autonomy_applied,那一行携带 一键撤销 据以恢复的快照。
按单个动作动词过滤是回答一个时间点问题(“我们什么时候打开了 auto-approve?” “谁删除了那条策略?“)最快的方式。这些动词是稳定字符串,因此一个保存的 过滤器能跨越控制台的重新设计而持续有效。

4. 范围、留存与擦除

工作区限定

每一条审计行都恰好属于一个工作区,并且只在其内部可读——没有任何东西 跨越租户边界。执行者、目标和负载都限定到那个工作区。参见 范围、密钥与策略

留存

审计行最长保留 180 天,然后由一个后台清理任务老化淘汰。你的 请求日志是一个有自己留存的独立存储——默认 30 天,服务端钳制到 180 天的硬上限。

被遗忘权

在一次工作区删除或明确的擦除请求时,OrcaRouter 给予一个 30 天宽限窗口, 然后清洗该工作区日志和审计记录里的 PII。参见 词汇表

合规证据

审计追踪是一个 合规包 为一份 签名就绪度报告所汲取的信号之一。报告由 Ed25519 签名且可公开验证。
不要动用审计日志去回答”这个请求被拦了吗?“——那存在于执行信息流里,而 不在这里。审计日志回答”这条策略被更改了吗,由谁?“。它们是刻意分离的 两个存储,有不同的留存和不同的访问路径。运行时的那一面参见 为什么这次被拦下了?

5. 接下来去哪里

防火墙可观测性

事件、运行和已发现工具信息流——补充这条配置追踪的运行时执行记录。

判定词汇表

追踪所引用的每个防火墙判定和防护栏动作,附 HTTP 状态和配额影响。

合规 API

把追踪变成一份签名的、可与审计员分享的就绪度报告。

范围、密钥与策略

工作区限定如何界定任何单条审计行所能暴露的边界。