Registro de auditoría y exportación
Un registro a prueba de manipulaciones con cadena de hash de cada llamada a herramientas MCP interceptada por ShieldAgent — con contexto completo, decisiones de políticas y puntuaciones de riesgo. Exporta a webhooks, Amazon S3 o Syslog para integración SIEM y retención a largo plazo.
Qué se registra
Cada solicitud que pasa por el proxy de ShieldAgent produce un evento de auditoría. Cada llamada a herramienta se registra — incluidas las solicitudes bloqueadas — para que siempre tengas un registro completo de la actividad del agente.
| Campo | Descripción |
|---|---|
| id | ID de evento único (aev_…). |
| agentId | El agente que realizó la solicitud. |
| tenantId | Tu ámbito de tenant. |
| eventType | tool_call, tool_drift, injection_detected, dlp_redaction, excessive_agency, policy_violation, etc. |
| action | allow, block, redact o human_review. |
| riskScore | Puntuación de riesgo 0–100 en el momento de la solicitud. |
| tool | Nombre de la herramienta MCP e ID del servidor. |
| inputHash | Huella digital de la entrada de la herramienta para verificación de integridad. |
| details | Payload específico del evento (resultados de detección, política aplicada, etc.). |
| timestamp | Marca de tiempo ISO 8601. |
Registro a prueba de manipulaciones
Cada evento de auditoría está criptográficamente vinculado al anterior, creando una cadena a prueba de manipulaciones. Si se modifica cualquier evento pasado, el cambio es detectado automáticamente. Puedes verificar la integridad de tu registro de auditoría en cualquier momento desde el panel o la API.
El informe de evidencia del Anexo IV de la Ley de IA de la UE incluye el resultado de esta verificación de integridad, proporcionándote pruebas listas para el cumplimiento de que tu registro de auditoría no ha sido alterado.
Explorar el registro de auditoría en el panel
El panel proporciona una vista en tiempo real y con búsqueda de todos los eventos de auditoría, sin necesidad de llamadas a la API:
- 1Ve a Registro de auditoría en la barra lateral izquierda.
- 2Usa los filtros en la parte superior para filtrar por agente, tipo de evento, resultado (allow / block / shadow), rango de puntuación de riesgo o ventana de tiempo.
- 3Haz clic en cualquier fila de evento para ver el payload completo, incluyendo los argumentos de la herramienta, la decisión de política y la puntuación de riesgo.
- 4Para verificar la integridad de la cadena, haz clic en Verificar cadena: el panel ejecuta una comprobación de hash en el rango de tiempo seleccionado.
- 5Para exportar, haz clic en Exportar y elige un destino (CSV, JSON o adaptador SIEM configurado).
Consultar vía API
El registro de auditoría se puede consultar mediante la API REST con opciones de filtrado enriquecidas. Todos los filtros se pueden combinar.
agentIdFiltrar por agente.serverIdFiltrar por servidor MCP.eventTypeFiltrar por tipo de evento (tool_call, injection_detected, …).actionFiltrar por resultado (allow, block, redact, human_review).riskScoreMin / riskScoreMaxFiltrar por rango de puntuación de riesgo.from / toRango de tiempo ISO 8601.limit / cursorPaginación basada en cursor.import ShieldAgent from '@shieldagent/sdk';
const client = new ShieldAgent();
// List all blocked tool calls for an agent in the last 24 hours
const events = await client.auditEvents.list({
agentId: "agt_...",
action: "block",
from: "2026-04-24T00:00:00Z",
});Destinos de exportación
Configura uno o más adaptadores de exportación para transmitir eventos de auditoría a tu SIEM o almacenamiento a largo plazo. Las exportaciones son casi en tiempo real — los eventos se vacían en segundos desde que se escriben.
Envía cada evento (o un lote) como JSON a cualquier endpoint HTTPS. Compatible con cabeceras personalizadas para autenticación SIEM (Splunk HEC, Elastic, Datadog). Reintenta con backoff exponencial en respuestas 5xx.
| Configuración | Descripción |
|---|---|
| Destination URL | Endpoint de destino. |
| Batch size | Eventos por POST. Predeterminado 100. |
| Custom headers | Objeto JSON de cabeceras personalizadas. |
Escribe eventos como JSON delimitado por líneas nuevas (NDJSON) en un bucket compatible con S3. Los archivos se particionan por fecha (YYYY/MM/DD/HH) y se vacían en intervalos configurables. Compatible con S3, R2, MinIO y GCS con claves HMAC.
| Configuración | Descripción |
|---|---|
| Bucket name | Nombre del bucket. |
| Key prefix | Prefijo de clave. Predeterminado: shieldagent/audit/. |
| Region | Región de AWS. |
| Flush interval | Intervalo de vaciado. Predeterminado 60000. |
Transmite eventos por UDP o TCP en formato syslog RFC 5424. Compatible con rsyslog, syslog-ng y cualquier SIEM con entrada syslog. Cada evento se serializa como mensaje CEF o JSON-en-syslog.
| Configuración | Descripción |
|---|---|
| Receiver host | Host receptor de syslog. |
| Receiver port | Puerto receptor. Predeterminado 514. |
| Protocol | udp o tcp. |
| Format | json o cef. |
Ejemplo de evento de auditoría
{
"id": "aev_01j...",
"agentId": "agt_01j...",
"tenantId": "ten_01j...",
"eventType": "tool_call",
"action": "block",
"riskScore": 82,
"tool": {
"name": "read_file",
"serverId": "srv_01j..."
},
"details": {
"policyId": "pol_01j...",
"policyName": "Block high-risk file reads",
"reason": "risk_score_threshold"
},
"timestamp": "2026-04-25T10:00:00.000Z"
}SDK y Panel
Política de retención
Los despliegues SaaS retienen los eventos de auditoría en el nivel activo (consultable) durante un período configurable. El archivado a largo plazo a S3 o Syslog está disponible a través de adaptadores de exportación. Contáctanos en info@shieldagent.io para requisitos específicos de retención.