この記事では、OpenTelemetry(OTel)を使用して組織全体のClaude Coworkアクティビティを監視する方法について説明します。OTelを使用すると、セキュリティチームと運用チームは、Coworkイベントを既に使用している可観測性ツールにストリーミングして、使用状況を追跡し、インシデントを調査し、パフォーマンスを分析できます。
Claude CoworkのOpenTelemetry監視はTeamおよびEnterpriseプランで利用可能です。Claude Desktopバージョン1.1.4173以降が必要です。
監視できる内容
Claude CoworkをOpenTelemetryコレクターに接続すると、Coworkは以下をカバーするイベントをストリーミングします:
ユーザープロンプト。ユーザーがCoworkに送信するプロンプトの完全なテキスト。
ツールおよびMCP呼び出し。セッション中にClaudeが実行するすべてのツール呼び出し。MCPサーバー名、ツール名、パラメーター、成功または失敗、実行時間を含みます。
ファイルアクセス。セッション中にClaudeが読み取り、変更、またはその他の方法で操作するファイルパス。MCPを通じてアクセスされるファイルとフォルダースコープのローカルファイルを含みます。
スキルとプラグイン。セッション内でClaudeが呼び出すスキルとプラグイン。
ユーザー承認決定。各ツールアクションがユーザーによって承認されたか、ユーザーによって拒否されたか、または既存の権限に基づいて自動的に開始されたか。
APIリクエストとエラー。リクエストごとのモデル、トークン数、推定コスト、期間、および返されたエラー。
共有されたprompt.id属性は、単一のユーザープロンプトによってトリガーされたすべてのイベントをリンクするため、1つの入力に応答してClaudeが実行したすべてのことを再構築できます。
イベントタイプと属性の完全なリストについては、Claude DocsのCowork監視リファレンスを参照してください。
OpenTelemetryを使用する場合
OpenTelemetryは、既存のSIEMおよび可観測性ツールにルーティングできる構造化されたCoworkイベントのリアルタイムストリームを提供します。セキュリティ監視とインシデント調査、組織全体のツールおよびファイルアクセスパターンの追跡、コストとパフォーマンス分析、既存のパイプラインでのダッシュボードとアラートの構築に最適な選択肢です。
OpenTelemetryは監査ログの代替ではありません。Coworkアクティビティは現在、監査ログ、Compliance API、またはデータエクスポートでキャプチャされておらず、OpenTelemetryイベントはコンプライアンス目的でそのギャップを埋めません。組織が正式な監査証跡を必要とする場合は、規制対象のワークロードにCoworkを使用しないでください。詳細については、Team and Enterprise plansでCoworkを使用するを参照してください。
互換性のある宛先
CoworkのOpenTelemetry出力は、任意の標準OTelコレクターで機能します。一般的な宛先は以下の通りです:
SIEMプラットフォーム(SplunkやCriblなど)
ログ集約システム(ElasticsearchやLokiなど)
カラムナーストア(ClickHouseなど)
可観測性プラットフォーム(HoneycombやDatadogなど)
コレクターを適切に設定することで、イベントを複数の宛先に同時にルーティングできます。
OpenTelemetry監視をセットアップする
Coworkをコレクターにイベントをエクスポートするように設定するには:
Claude Desktopを開き、Organization settings > Coworkに移動します。
OTLPエンドポイント(OpenTelemetryコレクターURL)を入力します。
コレクターが使用するOTLPプロトコルを選択します:HTTP/JSONまたはHTTP/protobuf。
ベアラートークンなど、認証に必要なOTLPヘッダーを追加します。
設定を保存します。
イベントはすぐにコレクターへのフローを開始します。認証ヘッダーはAnthropicサーバーで保存時に暗号化されます。
セキュリティとプライバシーに関する考慮事項
OpenTelemetryエクスポートをオンにする前に注意すべき点がいくつかあります:
ユーザープロンプトコンテンツはデフォルトでイベントに含まれます。組織がプロンプトコンテンツをSIEMにログすることに対するポリシーがある場合は、イベントをダウンストリームにルーティングする前に、コレクターでフィルタリングまたは編集を設定してください。
ツールパラメーターには機密値が含まれる場合があります。ファイルパス、コマンド引数、およびその他のツール入力はtool_parametersフィールドでエクスポートされます。保持ポリシーとアクセスポリシーを適切に計画してください。
ユーザーメールアドレスはイベント属性に含まれます。これが懸念事項の場合は、コレクターでフィルタリングまたは編集してください。
イベントは管理者がOTLPエンドポイントを設定した場合にのみエクスポートされます。デフォルトではデータは流れません。
OpenTelemetryデータをCompliance APIと結合する
各Cowork OTelイベントには、Compliance APIからのレコードとイベントを相関させるために使用できる共有ユーザーアカウント識別子が含まれています。これにより、OTelからのリアルタイムテレメトリとCompliance APIクエリからの長期レコードを組み合わせた統合ビューを構築できます。