使用手册 · 洞察
审计搜索
搜索、筛选和导出不可变的审计日志,记录 Agent 集群中发生的每一个治理事件。
/audit概述#
ClawButler 维护着一份不可变的审计日志,记录每一个治理事件——Agent 操作、审批决策、配置变更、紧急停机、连接器操作等。每条事件都带有精确时间戳、操作者归属和结构化元数据,方便你还原事件的完整经过和原因。
审计搜索页面是你进行合规检查和事件调查的核心工具。全文搜索结合多维度筛选器,让你在数秒内定位到特定事件。对于正式合规需求,证据包生成器(TCC 第 05 步)将相关事件打包成带有密码学完整性验证的可核查归档,可直接交付审计师或监管机构。
前置条件#
前置条件
- 一个活跃的 ClawButler 系统,Agent 正在产生事件(操作、审批、配置变更等)
- 至少同步了一个连接器,确保治理事件正在被记录
使用反馈#
当系统活跃并产生事件后,审计搜索页面提供:
- -可搜索的分页事件日志,按时间倒序显示所有治理事件
- -筛选面板,包含日期范围、事件类型、操作者、Agent 和风险等级控件
- -事件详情面板,展示结构化数据、关联事件和证据链接
- -导出选项,支持 CSV 或 JSON 格式下载审计数据
Web 端操作#
从侧边栏「洞察」分组进入审计搜索页面。
搜索与筛选
页面顶部提供全文搜索栏和一组筛选控件,用于缩小结果范围:
- -文本搜索——跨事件描述、操作者名称和元数据字段的全文检索
- -日期范围——起止日期选择器,限定查询的时间窗口
- -事件类型——按类别筛选,如 agent_action、approval、config_change、kill_switch、connector_sync 等
- -操作者——按触发事件的用户或系统主体筛选
- -Agent——按名称或 ID 筛选与特定 Agent 相关的事件
事件详情
点击任意事件行打开详情面板。面板展示完整的结构化事件数据,包括时间戳、事件类型、操作者、目标 Agent、风险等级、人类可读的摘要及原始元数据。关联事件(例如操作前的审批记录)通过链接相互关联,便于追踪。
证据包
用于合规检查和事件调查,你可以从一组筛选后的事件生成证据包(TCC 第 05 步)。证据包将选定事件及其完整元数据、关联上下文和密码学完整性哈希打包成可下载的归档文件,专为审计师交付和监管证据需求设计。
导出
使用导出控件将当前筛选结果下载为 CSV 或 JSON 格式。CSV 适合电子表格分析;JSON 保留完整的结构化元数据,适用于编程处理。导出遵循所有活跃的筛选条件和当前日期范围。
CLI 端操作#
搜索审计事件,支持按类型、日期和 Agent 筛选
Terminal
$ ap audit search --type <event_type>将审计数据导出为 CSV 或 JSON 格式
Terminal
$ ap audit export --format csv移动端操作#
在移动端,审计事件位于「洞察」标签页下。审计区段提供:
- -可滚动的事件列表,带有类型徽章、操作者和相对时间戳
- -点击任意事件查看完整详情,包括元数据和关联事件
- -下拉刷新加载最新事件
常见问题#
问:审计事件保留多长时间?
答:默认情况下审计事件永久保留。自托管部署可以在数据库层面配置保留策略。云端 Pro 计划用户享有无限保留;免费计划保留最近 90 天的记录。
问:审计事件可以修改或删除吗?
答:不可以。审计日志在设计上是只追加、不可变的。事件无法通过应用程序编辑、补录或删除。这保证了记录的完整性,满足合规和取证需求。
问:什么是证据包?什么时候应该使用它?
答:证据包(TCC 第 05 步)是一组关联审计事件的打包导出,带有密码学完整性验证。当你需要为合规审计、安全事件报告或监管问询提供正式证据时使用。它包含所有事件元数据、操作者归属和用于防篡改检测的哈希链。