审计接入指南

更新时间:
复制 MD 格式

AgentLoop 审计模块支持两类数据接入方式:AI 应用接入(采集 Agent 会话日志)和 AI 节点接入(通过 eBPF Runtime 采集运行时行为)。本文介绍如何在接入中心完成审计数据的接入配置。

接入方式概览

接入方式

适用场景

数据存储

说明

AI 应用接入

已部署 AI Coding Agent 的主机/容器环境

agent-event / agent-event-webtracking

采集 Agent 会话日志,获取 Session、Turn、Tool Call 等完整行为事件;具体写入链路以接入中心生成的配置为准

AI 节点 Runtime/eBPF

需要运行时级别观测的主机/节点

ebpf-event Logstore

通过 eBPF 采集 LLM 请求特征、进程行为、文件访问和网络连接

两种接入方式可以同时使用。AI 应用接入提供 Agent 语义级的完整会话数据;AI 节点 Runtime/eBPF 提供进程级运行时观测,可以发现未管理的 Agent 活动和未上报的副作用行为。

前提条件

  • 已开通 AgentLoop 服务并创建智能体空间。

  • 目标主机或集群已部署 AI Agent 应用。

  • (AI 应用接入)目标环境已部署 LoongSuite Pilot 数据采集组件。

  • (AI 节点接入)目标环境已部署支持 eBPF 的 LoongCollector 组件。

AI 应用接入

支持的 Agent 类型

当前审计模块支持以下 AI Coding Agent 的会话日志接入:

Agent 类型

说明

Qoder

Qoder AI 编程助手

Qoder CLI

Qoder 命令行 AI 助手

Qoder Work

Qoder Work 工作区助手

Cursor

Cursor AI 编程助手

Claude Code

Claude Code AI 编程助手

Codex

Codex AI 编程助手

接入步骤

  1. 进入 AgentLoop 控制台,在左侧导航栏单击接入中心

  2. AI 可观测 区域,找到目标 Agent 类型卡片(如 Qoder、Cursor、Claude Code 等),单击进入接入配置。

  3. 选择使用场景:主机、Kubernetes 或 Docker。

  4. 配置接入参数:

    参数

    说明

    应用名前缀

    用于标识一组 Agent 实例,生成服务名称,例如 ai-coding-prod

    连接方式

    公网方式或阿里云内网方式

    智能体空间初始化

    初始化当前 AgentSpace,绑定 CMS Workspace 和 SLS Project

    Project

    当前 AgentSpace 绑定的 SLS Project(只读)

    日志存储位置

    应用侧审计日志写入 agent-event / agent-event-webtracking,具体以接入中心生成的采集配置为准

    机器组

    选择或创建采集目标机器组

  5. 配置数据处理选项:

    • 数据脱敏(可选):支持对手机号、身份证、邮箱、IP 地址、座机电话、银行卡号等敏感信息进行脱敏处理。脱敏默认关闭,用户可根据需要开启。

  6. 单击完成接入,系统将自动生成安装命令。在目标主机或集群执行安装命令,完成 Pilot 部署和采集配置。

接入验收

接入完成后,可以在 SLS 控制台查看 agent-event / agent-event-webtracking 是否有数据写入,也可以在审计管理页面查看对应 Agent 应用的最近数据时间。进入审计事实后,按 Agent 类型或应用名称筛选,确认可以看到上报的 Session、模型请求响应和工具调用数据。

采集的数据类型

AI 应用接入采集的审计日志包含以下事件类型:

事件类型

说明

Session 事件

Agent 会话的创建和结束

Turn 事件

用户与 Agent 的一轮交互

Step 事件

Agent 执行的一个步骤

LLM 模型请求 / 响应

LLM 模型请求和响应

工具调用 / 工具结果

工具调用和返回结果

人工审批检查点

人工审批检查点

AI 节点 Runtime/eBPF 接入

功能说明

AI 节点 Runtime/eBPF 接入通过 eBPF 技术在内核层观测 Agent 运行时行为,不需要修改应用代码。它可以:

  • 识别主机上运行的 AI Agent 进程及其类型。

  • 捕获 LLM API 请求特征(模型、Token 等)。

  • 监测文件读写、网络连接等进程级行为。

  • 发现未接入正式会话日志的 Agent 活动。

接入步骤

  1. 在接入中心的 AI 可观测 区域,单击 AI 节点 Runtime/eBPF 卡片。

  2. 选择使用场景:主机、Kubernetes 或 Docker。

  3. 配置节点范围参数:

    参数

    说明

    Project

    当前 AgentSpace 绑定的 SLS Project(只读)

    Logstore

    固定为 ebpf-event(只读)

    机器组

    选择或创建采集目标机器组

  4. 配置 AgentSight 探测规则:

    • 命令行白名单:定义需要纳入采集的 Agent 进程规则。每组包含"Agent 类型"和"命令行参数模式"。命中白名单的进程将被标记为对应的 Agent 类型。

    • 命令行黑名单:定义需要排除采集的进程模式。黑名单优先于白名单。

    • 域名白名单:定义需要纳入采集的网络访问域名模式。访问白名单域名的进程也会被纳入采集。

    未填写任何配置时,系统使用推荐默认值。填写任一项后,以当前配置完整覆盖对应默认列表。

  5. 配置数据脱敏选项(可选),与 AI 应用接入一致。

  6. 完成接入配置。

接入验收

eBPF 接入完成后,在 SLS 控制台查看 ebpf-event Logstore 是否有数据写入即可确认接入成功。

数据脱敏

审计日志中可能包含用户手机号、邮箱、API Key 等敏感信息。AgentLoop 支持在数据采集阶段进行端侧脱敏,避免敏感数据明文写入日志存储。

支持的脱敏类型:

  • 手机号

  • 身份证号

  • 邮箱地址

  • IP 地址

  • 座机电话

  • 银行卡号

脱敏在接入配置时选择,默认关闭,按需开启。脱敏处理后日志的上下文信息仍然完整可读,不影响审计与问题排查。

接入效果验证

接入成功后,可以通过以下方式验证:

  1. 审计管理页面查看「AI 应用审计」,确认目标应用已出现并显示最近数据时间。

  2. 审计事实页面,按 Agent 类型或应用名称筛选,确认可以看到上报的 Session 数据、Token 统计和行为分析结果。

  3. 对于 AI 系统运行时接入,在审计管理的「AI 运行时审计」区域确认采集主机数和最近数据时间。