- 谁删除了 API 密钥、数据集或部署?
- 何时邀请了新成员、修改了角色或更新了示例?
- 什么计费、SSO 或数据保留配置被更改了?
- 哪些数据集、跟踪项目或提示 webhook 被修改了?
先决条件
- 您的组织必须在 企业版计划 上。
- 您必须拥有 组织管理员 或 组织操作员 角色(
organization:manage权限)才能查看审计日志。
记录内容
审计日志记录组织设置、成员身份、凭据、工作区和其他资源的更改。每个事件包括时间戳、执行者、操作名称、受影响的资源以及操作是否成功。有关操作名称的完整列表,请参阅跟踪的操作参考。保留期限
审计日志最多保留 400 天。超过 400 天的事件可能会被自动移除。为自托管部署启用审计日志
审计日志适用于运行 Helm chart 0.12.33 或更高版本(应用程序版本 0.12.33)的自托管 LangSmith 实例。升级后,请使用以下选项之一启用审计日志:-
为特定组织启用: 针对您的 LangSmith PostgreSQL 数据库运行以下命令,将
<organization_id>替换为从 UI 的组织设置页面复制的 ID: -
为所有组织启用: 将以下环境变量添加到您的
values.yaml中的commonEnv:此环境变量对个人组织无效。
通过 API 查询审计日志
使用GET /api/v1/audit-logs 端点(API 参考)检索审计日志事件。结果遵循 OCSF API Activity 模式。
示例请求
响应格式
审计日志事件以 OCSF v1.7.0 API Activity (Class UID 6003) 格式返回。关键字段:| 字段 | 描述 |
|---|---|
actor.user.uid | 执行操作的用户的 UUID。 |
actor.user.credential_uid | 用于对请求进行身份验证的 API 密钥、PAT 或服务密钥的 UUID。如果用户通过会话(例如 UI)进行身份验证,则为 null。 |
api.operation | LangSmith 操作名称(例如 create_api_key、delete_workspace)。有关所有值,请参阅跟踪的操作参考。 |
status | Success、Failure 或 Unknown。 |
resources | 受操作影响的资源的 UUID 列表(例如,被更新的角色、被创建的工作区)。 |
metadata.uid | 此审计日志事件的唯一标识符。 |
unmapped.original_audit_log | 完整的 LangSmith 原生审计日志记录,包括 organization_id 和 workspace_id。 |
转发到外部系统
要将审计日志事件转发到外部 SIEM 或日志平台,您可以运行一个计划函数,每小时拉取前一小时的事件。例如,使用 AWS Lambda + EventBridge Scheduler,失败事件会进入死信队列,这样您就知道需要重试哪些时间窗口。跟踪的操作参考
| 类别 | 操作 (api.operation) |
|---|---|
| API 密钥和凭据 | create_api_key, delete_api_key, create_personal_access_token, delete_personal_access_token, create_service_key, delete_service_key, create_service_account, delete_service_account, list_org_personal_access_tokens, list_org_service_keys |
| 角色 | create_role, update_role, delete_role |
| 组织 | create_organization, create_provisioned_saas_org, create_tenant, invite_provisioned_org_member, claim_pending_organization_invite, delete_pending_organization_invite |
| 组织成员 | invite_user_to_org, invite_users_to_org_batch, update_org_member, delete_org_member, delete_org_pending_member, add_basic_auth_users_to_org, update_basic_auth_user |
| SSO 和身份验证 | create_sso_settings, update_sso_settings, delete_sso_settings, update_login_methods, update_default_sso_provision_organization, get_sso_settings, get_sso_settings_current, get_login_methods, send_sso_email_confirmation, confirm_sso_user_email, login |
| SCIM 配置 | create_scim_token, update_scim_token, delete_scim_token, create_scim_user, update_scim_user, delete_scim_user, create_scim_group, update_scim_group, delete_scim_group |
| 计费和业务信息 | update_organization_info, update_business_info, update_payment_plan, update_payment_method, create_payment_setup_intent, create_payment_checkout_session, create_payment_account_link |
| 工作区 | create_workspace, update_workspace, delete_workspace, add_member_to_workspace, add_members_to_workspace_batch, delete_workspace_member, update_workspace_member, delete_workspace_pending_member, claim_pending_workspace_invite, delete_pending_workspace_invite, update_workspace_secrets, unshare_entities, set_tenant_handle |
| 数据保留和使用限制 | update_ttl_settings, update_usage_limit, delete_usage_limit |
| 跟踪项目 | update_tracer_session, delete_tracer_session, delete_tracer_sessions |
| 运行和跟踪 | query_run, query_runs, query_trace, query_trace_messages, batch_query_trace_messages, query_threads, query_thread_traces, read_run, read_runs, delete_runs, get_run_cluster, generate_runs_query |
| 数据集 | create_dataset, create_csv_dataset, update_dataset, delete_dataset, delete_datasets, update_dataset_version, update_dataset_splits, share_dataset, unshare_dataset, clone_dataset, download_dataset, generate_dataset, generate_shared_dataset_query, get_dataset_comparison_view, stream_dataset_comparison_view, read_dataset_delta, read_shared_delta, read_shared_delta_stream, create_experiment_via_upload, create_playground_experiment, create_comparative_experiment, delete_comparative_experiment |
| 示例 | create_example, create_examples, update_example, update_examples, delete_example, delete_examples, read_example, read_examples, get_example, list_examples, sync_examples, validate_example, validate_examples |
| 实验 | create_experiment_view_override, update_experiment_view_override, delete_experiment_view_override, get_experiment_view_override, get_experiment_view_overrides, evaluate_experiment |
| 评估器 | create_evaluator, update_evaluator, delete_evaluator, bulk_delete_evaluators, execute_custom_code |
| 反馈 | create_feedback_config, update_feedback_config, delete_feedback_config, create_feedback_formula, update_feedback_formula, delete_feedback_formula, read_feedback, read_feedbacks, stream_feedback_delta |
| 标注队列 | create_annotation_queue, update_annotation_queue, delete_annotation_queue, delete_annotation_queues, populate_annotation_queue, export_annotation_queue, add_annotation_queue_reviewer, remove_annotation_queue_reviewer, add_runs_to_annotation_queue, create_annotation_queue_run_status, update_annotation_queue_run, get_annotation_queue_run, get_annotation_queue_runs, delete_annotation_queue_run, delete_annotation_queue_runs, resolve_annotation_queue_run, get_pairwise_queue, list_pairwise_queues, list_pairwise_entries |
| 警报 | create_alert_rule, update_alert_rule, delete_alert_rule, test_alert_rule |
| 筛选视图 | create_filter_view, update_filter_view, delete_filter_view, rename_filter_view |
| 提示提交和中心 | create_commit, create_directory_commit, delete_directory, create_hub_environment, update_hub_environment, delete_hub_environment |
| 提示画布快速操作 | create_prompt_canvas_quick_action, update_prompt_canvas_quick_action, delete_prompt_canvas_quick_action |
| 提示 webhook | create_prompt_webhook, update_prompt_webhook, delete_prompt_webhook, test_prompt_webhook |
| 部署 | create_deployment, update_deployment, delete_deployment |
| 批量导出 | create_bulk_export, cancel_bulk_export, get_bulk_export, get_bulk_export_run, get_bulk_export_runs, get_bulk_export_runs_filtered, list_bulk_exports, create_bulk_export_destination, update_bulk_export_destination, read_bulk_export_destination, list_bulk_export_destinations |
| 资源标签 | create_tag_key, update_tag_key, delete_tag_key, create_tag_value, update_tag_value, delete_tag_value, create_tagging, delete_tagging |
| 访问策略 | create_access_policy, delete_access_policy, list_access_policies, read_access_policy, attach_access_policies, read_role_access_policies |
| 自定义图表 | create_chart, update_chart, delete_chart, read_chart, read_charts, read_chart_preview, create_chart_section, update_chart_section, delete_chart_section, clone_chart_section, read_chart_section, create_org_chart, update_org_chart, delete_org_chart, create_org_chart_section, update_org_chart_section, delete_org_chart_section, read_tracing_dashboard |
| 模型定价 | create_model_price_map, update_model_price_map, delete_model_price_map |
| MCP 服务器和工具 | create_mcp_server, update_mcp_server, delete_mcp_server, register_mcp_server_oauth, mcp_proxy, create_mcp_vendor_settings, update_mcp_vendor_settings, delete_mcp_vendor_settings, invalidate_mcp_tools_cache, create_tool, update_tool, delete_tool |
| 网关策略 | create_gateway_policy, update_gateway_policy, delete_gateway_policy |
| Forge 配置 | create_forge_configuration, update_forge_configuration, delete_forge_configuration, trigger_forge_configuration |
| Insights 作业 | create_insights_job, update_insights_job, delete_insights_job, create_insights_job_config, update_insights_job_config, delete_insights_job_config, generate_insights_job_config, get_insights_job_runs |
| Fleet 使用限制和 webhook | create_fleet_usage_limit, update_fleet_usage_limit, delete_fleet_usage_limit, create_fleet_webhook, update_fleet_webhook, delete_fleet_webhook, test_fleet_webhook |
| 沙箱代理配置文件 | create_sandbox_proxy_profile, update_sandbox_proxy_profile, delete_sandbox_proxy_profile |
| Playground 设置 | create_playground_settings, update_playground_settings, delete_playground_settings |
| 自托管许可 | create_self_hosted_customer, update_self_hosted_customer, mint_self_hosted_license, update_self_hosted_license |
| 功能模型默认值 | upsert_feature_default_model, delete_feature_default_model, upsert_feature_disabled_model, delete_feature_disabled_model |
| 入门引导 | create_onboarding_state, update_onboarding_state |
| NPS | submit_nps_response |
常见问题
Plus 或 Developer 计划是否提供审计日志?
Plus 或 Developer 计划是否提供审计日志?
不提供。审计日志是企业版功能。有关计划详情,请参阅定价。
是否有用于查看审计日志的 UI?
是否有用于查看审计日志的 UI?
目前没有。审计日志可通过 API 获取。
读取操作是否被记录?
读取操作是否被记录?
审计日志目前主要关注写入操作。未来可能会添加对更多读取操作的支持。
未来会跟踪更多操作吗?
未来会跟踪更多操作吗?
是的。我们打算随着时间的推移扩展跟踪的操作集。跟踪的操作参考始终反映当前支持的操作集。
我可以获取 OCSF 以外格式的审计日志吗?
我可以获取 OCSF 以外格式的审计日志吗?
API 仅以 OCSF 格式返回事件。如果您需要不同形状的数据,每个事件中的
unmapped.original_audit_log 字段包含原始的 LangSmith 审计日志记录。什么是 OCSF?
什么是 OCSF?
开放网络安全模式框架 (OCSF) 是一个用于安全事件数据的开放标准。LangSmith 将审计日志事件作为 OCSF v1.7.0 API Activity (Class 6003) 对象返回。
将这些文档通过 MCP 连接到 Claude、VSCode 等,以获取实时答案。