审计管理是接入中心与风险审计之间的审计能力管理页面,负责管理应用风险审计和运行时风险审计状态。本文介绍审计管理页面的功能和操作方法。
页面概述
审计管理提供以下能力:
查看 AI 应用审计状态:展示已接入的 Agent 类型、Agent 应用名称、最近数据时间、24 小时流量趋势和查看数据入口。
查看 AI 运行时审计状态:展示已接入运行时主机、Agent 类型、最近数据时间、24 小时流量趋势和查看数据入口。
控制风险审计开关:通过应用风险审计开关与运行时风险审计开关,一键启停对应范围的安全检测任务。
页面不再展示顶部概览指标卡,也不再展示「未管理 Agent 发现」列表;纳管与接入引导统一在接入中心完成。
应用风险审计
AI 应用审计
模块标题行右侧为应用风险审计全局开关。标题下方为接入引导文案,说明需先在接入中心完成 AI 应用日志接入。
开关控制的 Scheduled SQL 任务:
任务名称 | 功能 | 调度频率 |
| 生成应用侧模型与敏感数据类低保真发现,写入 | 每分钟 |
| 生成应用侧敏感文件变更低保真发现,写入 | 每分钟 |
| 生成应用侧命令与外联低保真发现,写入 | 每分钟 |
| 生成应用侧高保真安全事件,写入 | 每 10 分钟 |
应用风险审计与运行时风险审计任务按范围独立启停,互不阻塞。
风险审计开关只控制 security-event / incident-event 加工任务。Session 浏览、Token 分析和行为分析属于审计事实,原始数据接入后即可查询,不要求风险审计开关开启。
控制台通过 src/services/audit-management.ts 与 src/services/audit-scheduled-sql.ts 调用 SLS Scheduled SQL API 实现生命周期;对已启用 / 已停用的任务重复 enable / disable 按幂等成功处理。开关关闭时间记录在本地 meta,用于 7 天重建判断。
开关交互
切换过程中开关旁显示「开启中...」或「关闭中...」,并暂时禁用开关。
失败时错误信息展示在开关旁,不展示在页面顶部。
列表字段:
字段 | 说明 |
Agent 类型 | Agent 的类型标识 |
应用名称 | 由接入时配置的应用名前缀生成 |
最近数据时间 | 最近一次收到上报数据的时间 |
流量趋势 | 24 小时迷你折线图 |
操作 | 点击「查看」打开应用数据详情浮层 |
列表支持按 Agent 类型和应用名称筛选,分页每页 5 条。应用风险审计为全局开关,不按应用勾选或维护白名单。
点击「查看」后,浮层「查看数据」跳转 Session 浏览,并带入 agentType、serviceName 筛选。
运行时风险审计
AI 运行时审计
模块标题行右侧为运行时风险审计全局开关。标题下方为接入引导文案,说明需先在接入中心完成 AI 系统运行时(原 eBPF Runtime)接入。
审计管理页不提供运行时采集配置入口;探测规则、黑白名单与 MachineGroup 在接入中心管理。
开关控制的 Scheduled SQL 任务:
任务名称 | 功能 | 调度频率 |
| 生成运行时模型与敏感数据类低保真发现,写入 | 每分钟 |
| 生成运行时敏感文件变更低保真发现,写入 | 每分钟 |
| 生成运行时命令与外联低保真发现,写入 | 每分钟 |
| 生成运行时高保真安全事件,写入 | 每 10 分钟 |
未开启运行时风险审计时,原始运行时事件仍可采集和浏览,但不会生成运行时低保真发现和运行时高保真事件。
状态汇总表(分页每页 5 条):
字段 | 说明 |
主机 | 已接入运行时采集的主机或实例 |
Agent 类型 | 运行时识别出的 Agent 类型 |
最近数据时间 | 最近一次原始运行时事件时间 |
24 小时流量趋势 | 最近 24 小时事件量趋势 |
操作 | 「查看」跳转 Session 浏览并带入 |
开关生命周期规则
开启
任务不存在则创建;已暂停则恢复。
已存在任务在开启时会按当前模板 create/update,SQL 和调度配置一致时跳过更新。
关闭
停用 Scheduled SQL,不删除任务定义与历史产物。
应用风险审计关闭时暂停 application scope 的
security-event、incident-event任务。运行时风险审计关闭时暂停 runtime scope 的
security-event、incident-event任务。
重新开启
关闭不超过 7 天:直接恢复。
超过 7 天:重建 Scheduled SQL 任务定义并按当前配置运行;该操作不删除历史
security-event、incident-event或原始日志数据。
常见问题
Q:AI 应用审计中的应用从何而来?
来自 agent-event Logstore 的应用聚合。在接入中心完成接入并有事件上报后自动出现。
Q:运行时风险审计和应用风险审计需要同时开启吗?
不需要。两者可独立使用,同时开启时可互相关联补充。
Q:关闭审计开关后历史数据会丢失吗?
不会。关闭只暂停检测任务,不删除历史安全事件和原始日志。