审计管理

更新时间:
复制 MD 格式

审计管理是接入中心与风险审计之间的审计能力管理页面,负责管理应用风险审计和运行时风险审计状态。本文介绍审计管理页面的功能和操作方法。

页面概述

审计管理提供以下能力:

  • 查看 AI 应用审计状态:展示已接入的 Agent 类型、Agent 应用名称、最近数据时间、24 小时流量趋势和查看数据入口。

  • 查看 AI 运行时审计状态:展示已接入运行时主机、Agent 类型、最近数据时间、24 小时流量趋势和查看数据入口。

  • 控制风险审计开关:通过应用风险审计开关与运行时风险审计开关,一键启停对应范围的安全检测任务。

页面不再展示顶部概览指标卡,也不再展示「未管理 Agent 发现」列表;纳管与接入引导统一在接入中心完成。

应用风险审计

AI 应用审计

模块标题行右侧为应用风险审计全局开关。标题下方为接入引导文案,说明需先在接入中心完成 AI 应用日志接入。

开关控制的 Scheduled SQL 任务:

任务名称

功能

调度频率

agentloop_security_event_application_model_data_etl

生成应用侧模型与敏感数据类低保真发现,写入 security-event

每分钟

agentloop_security_event_application_sensitive_file_change_etl

生成应用侧敏感文件变更低保真发现,写入 security-event

每分钟

agentloop_security_event_application_command_outbound_action_etl

生成应用侧命令与外联低保真发现,写入 security-event

每分钟

agentloop_incident_event_application_etl

生成应用侧高保真安全事件,写入 incident-event

每 10 分钟

说明

应用风险审计与运行时风险审计任务按范围独立启停,互不阻塞。

风险审计开关只控制 security-event / incident-event 加工任务。Session 浏览、Token 分析和行为分析属于审计事实,原始数据接入后即可查询,不要求风险审计开关开启。

控制台通过 src/services/audit-management.tssrc/services/audit-scheduled-sql.ts 调用 SLS Scheduled SQL API 实现生命周期;对已启用 / 已停用的任务重复 enable / disable 按幂等成功处理。开关关闭时间记录在本地 meta,用于 7 天重建判断。

开关交互

  • 切换过程中开关旁显示「开启中...」或「关闭中...」,并暂时禁用开关。

  • 失败时错误信息展示在开关旁,不展示在页面顶部。

列表字段:

字段

说明

Agent 类型

Agent 的类型标识

应用名称

由接入时配置的应用名前缀生成

最近数据时间

最近一次收到上报数据的时间

流量趋势

24 小时迷你折线图

操作

点击「查看」打开应用数据详情浮层

列表支持按 Agent 类型和应用名称筛选,分页每页 5 条。应用风险审计为全局开关,不按应用勾选或维护白名单。

点击「查看」后,浮层「查看数据」跳转 Session 浏览,并带入 agentTypeserviceName 筛选。

运行时风险审计

AI 运行时审计

模块标题行右侧为运行时风险审计全局开关。标题下方为接入引导文案,说明需先在接入中心完成 AI 系统运行时(原 eBPF Runtime)接入。

审计管理页不提供运行时采集配置入口;探测规则、黑白名单与 MachineGroup 在接入中心管理。

开关控制的 Scheduled SQL 任务:

任务名称

功能

调度频率

agentloop_security_event_runtime_model_data_etl

生成运行时模型与敏感数据类低保真发现,写入 security-event

每分钟

agentloop_security_event_runtime_sensitive_file_change_etl

生成运行时敏感文件变更低保真发现,写入 security-event

每分钟

agentloop_security_event_runtime_command_outbound_action_etl

生成运行时命令与外联低保真发现,写入 security-event

每分钟

agentloop_incident_event_runtime_etl

生成运行时高保真安全事件,写入 incident-event

每 10 分钟

说明

未开启运行时风险审计时,原始运行时事件仍可采集和浏览,但不会生成运行时低保真发现和运行时高保真事件。

状态汇总表(分页每页 5 条):

字段

说明

主机

已接入运行时采集的主机或实例

Agent 类型

运行时识别出的 Agent 类型

最近数据时间

最近一次原始运行时事件时间

24 小时流量趋势

最近 24 小时事件量趋势

操作

「查看」跳转 Session 浏览并带入 hostname 筛选

开关生命周期规则

开启

  • 任务不存在则创建;已暂停则恢复。

  • 已存在任务在开启时会按当前模板 create/update,SQL 和调度配置一致时跳过更新。

关闭

  • 停用 Scheduled SQL,不删除任务定义与历史产物。

  • 应用风险审计关闭时暂停 application scope 的 security-eventincident-event 任务。

  • 运行时风险审计关闭时暂停 runtime scope 的 security-eventincident-event 任务。

重新开启

  • 关闭不超过 7 天:直接恢复。

  • 超过 7 天:重建 Scheduled SQL 任务定义并按当前配置运行;该操作不删除历史 security-eventincident-event 或原始日志数据。

常见问题

Q:AI 应用审计中的应用从何而来?

来自 agent-event Logstore 的应用聚合。在接入中心完成接入并有事件上报后自动出现。

Q:运行时风险审计和应用风险审计需要同时开启吗?

不需要。两者可独立使用,同时开启时可互相关联补充。

Q:关闭审计开关后历史数据会丢失吗?

不会。关闭只暂停检测任务,不删除历史安全事件和原始日志。