AgentLoop 审计模块支持两类数据接入方式:AI 应用接入(采集 Agent 会话日志)和 AI 节点接入(通过 eBPF Runtime 采集运行时行为)。本文介绍如何在接入中心完成审计数据的接入配置。
接入方式概览
接入方式 | 适用场景 | 数据存储 | 说明 |
AI 应用接入 | 已部署 AI Coding Agent 的主机/容器环境 |
| 采集 Agent 会话日志,获取 Session、Turn、Tool Call 等完整行为事件;具体写入链路以接入中心生成的配置为准 |
AI 节点 Runtime/eBPF | 需要运行时级别观测的主机/节点 |
| 通过 eBPF 采集 LLM 请求特征、进程行为、文件访问和网络连接 |
两种接入方式可以同时使用。AI 应用接入提供 Agent 语义级的完整会话数据;AI 节点 Runtime/eBPF 提供进程级运行时观测,可以发现未管理的 Agent 活动和未上报的副作用行为。
前提条件
已开通 AgentLoop 服务并创建智能体空间。
目标主机或集群已部署 AI Agent 应用。
(AI 应用接入)目标环境已部署 LoongSuite Pilot 数据采集组件。
(AI 节点接入)目标环境已部署支持 eBPF 的 LoongCollector 组件。
AI 应用接入
支持的 Agent 类型
当前审计模块支持以下 AI Coding Agent 的会话日志接入:
Agent 类型 | 说明 |
Qoder | Qoder AI 编程助手 |
Qoder CLI | Qoder 命令行 AI 助手 |
Qoder Work | Qoder Work 工作区助手 |
Cursor | Cursor AI 编程助手 |
Claude Code | Claude Code AI 编程助手 |
Codex | Codex AI 编程助手 |
接入步骤
进入 AgentLoop 控制台,在左侧导航栏单击接入中心。
在 AI 可观测 区域,找到目标 Agent 类型卡片(如 Qoder、Cursor、Claude Code 等),单击进入接入配置。
选择使用场景:主机、Kubernetes 或 Docker。
配置接入参数:
参数
说明
应用名前缀
用于标识一组 Agent 实例,生成服务名称,例如 ai-coding-prod
连接方式
公网方式或阿里云内网方式
智能体空间初始化
初始化当前 AgentSpace,绑定 CMS Workspace 和 SLS Project
Project
当前 AgentSpace 绑定的 SLS Project(只读)
日志存储位置
应用侧审计日志写入
agent-event/agent-event-webtracking,具体以接入中心生成的采集配置为准机器组
选择或创建采集目标机器组
配置数据处理选项:
数据脱敏(可选):支持对手机号、身份证、邮箱、IP 地址、座机电话、银行卡号等敏感信息进行脱敏处理。脱敏默认关闭,用户可根据需要开启。
单击完成接入,系统将自动生成安装命令。在目标主机或集群执行安装命令,完成 Pilot 部署和采集配置。
接入验收
接入完成后,可以在 SLS 控制台查看 agent-event / agent-event-webtracking 是否有数据写入,也可以在审计管理页面查看对应 Agent 应用的最近数据时间。进入审计事实后,按 Agent 类型或应用名称筛选,确认可以看到上报的 Session、模型请求响应和工具调用数据。
采集的数据类型
AI 应用接入采集的审计日志包含以下事件类型:
事件类型 | 说明 |
Session 事件 | Agent 会话的创建和结束 |
Turn 事件 | 用户与 Agent 的一轮交互 |
Step 事件 | Agent 执行的一个步骤 |
LLM 模型请求 / 响应 | LLM 模型请求和响应 |
工具调用 / 工具结果 | 工具调用和返回结果 |
人工审批检查点 | 人工审批检查点 |
AI 节点 Runtime/eBPF 接入
功能说明
AI 节点 Runtime/eBPF 接入通过 eBPF 技术在内核层观测 Agent 运行时行为,不需要修改应用代码。它可以:
识别主机上运行的 AI Agent 进程及其类型。
捕获 LLM API 请求特征(模型、Token 等)。
监测文件读写、网络连接等进程级行为。
发现未接入正式会话日志的 Agent 活动。
接入步骤
在接入中心的 AI 可观测 区域,单击 AI 节点 Runtime/eBPF 卡片。
选择使用场景:主机、Kubernetes 或 Docker。
配置节点范围参数:
参数
说明
Project
当前 AgentSpace 绑定的 SLS Project(只读)
Logstore
固定为
ebpf-event(只读)机器组
选择或创建采集目标机器组
配置 AgentSight 探测规则:
命令行白名单:定义需要纳入采集的 Agent 进程规则。每组包含"Agent 类型"和"命令行参数模式"。命中白名单的进程将被标记为对应的 Agent 类型。
命令行黑名单:定义需要排除采集的进程模式。黑名单优先于白名单。
域名白名单:定义需要纳入采集的网络访问域名模式。访问白名单域名的进程也会被纳入采集。
未填写任何配置时,系统使用推荐默认值。填写任一项后,以当前配置完整覆盖对应默认列表。
配置数据脱敏选项(可选),与 AI 应用接入一致。
完成接入配置。
接入验收
eBPF 接入完成后,在 SLS 控制台查看 ebpf-event Logstore 是否有数据写入即可确认接入成功。
数据脱敏
审计日志中可能包含用户手机号、邮箱、API Key 等敏感信息。AgentLoop 支持在数据采集阶段进行端侧脱敏,避免敏感数据明文写入日志存储。
支持的脱敏类型:
手机号
身份证号
邮箱地址
IP 地址
座机电话
银行卡号
脱敏在接入配置时选择,默认关闭,按需开启。脱敏处理后日志的上下文信息仍然完整可读,不影响审计与问题排查。
接入效果验证
接入成功后,可以通过以下方式验证:
在审计管理页面查看「AI 应用审计」,确认目标应用已出现并显示最近数据时间。
在审计事实页面,按 Agent 类型或应用名称筛选,确认可以看到上报的 Session 数据、Token 统计和行为分析结果。
对于 AI 系统运行时接入,在审计管理的「AI 运行时审计」区域确认采集主机数和最近数据时间。