В этой статье объясняется, как использовать OpenTelemetry (OTel) для мониторинга активности Claude Cowork в вашей организации. С помощью OTel ваши команды безопасности и операций могут передавать события Cowork в инструменты наблюдаемости, которые вы уже используете для отслеживания использования, расследования инцидентов и анализа производительности.
Мониторинг OpenTelemetry для Claude Cowork доступен в планах Team и Enterprise. Требуется Claude Desktop версии 1.1.4173 или выше.
Что вы можете мониторить
Когда вы подключаете Claude Cowork к сборщику OpenTelemetry, Cowork передает события, охватывающие:
Запросы пользователей. Полный текст запросов, которые пользователи отправляют в Cowork.
Вызовы инструментов и MCP. Каждый вызов инструмента, который Claude выполняет во время сеанса, включая имя сервера MCP, имя инструмента, параметры, успех или ошибку и время выполнения.
Доступ к файлам. Пути файлов, которые Claude читает, изменяет или иным образом использует во время сеанса, включая файлы, доступные через MCP, и локальные файлы с областью действия папки.
Навыки и плагины. Какие навыки и плагины Claude вызывает в рамках сеанса.
Решения об одобрении человеком. Было ли каждое действие инструмента одобрено пользователем, отклонено пользователем или инициировано автоматически на основе существующих разрешений.
Запросы API и ошибки. Модель для каждого запроса, количество токенов, предполагаемая стоимость, продолжительность и любые возвращенные ошибки.
Общий атрибут prompt.id связывает каждое событие, вызванное одним запросом пользователя, так что вы можете восстановить все, что Claude сделал в ответ на один ввод.
Полный список типов событий и атрибутов см. в справочнике мониторинга Cowork в нашей документации Claude.
Когда использовать OpenTelemetry
OpenTelemetry предоставляет вам поток структурированных событий Cowork в реальном времени, который вы можете направить в свои существующие инструменты SIEM и наблюдаемости. Это правильный выбор для мониторинга безопасности и расследования инцидентов, отслеживания шаблонов доступа к инструментам и файлам в вашей организации, анализа затрат и производительности, а также создания панелей мониторинга и оповещений в вашем существующем конвейере.
OpenTelemetry не является заменой для журнала аудита. Активность Cowork в настоящее время не фиксируется в журналах аудита, API соответствия или экспортах данных, и события OpenTelemetry не заполняют этот пробел в целях соответствия. Если ваша организация требует формальных журналов аудита, не используйте Cowork для регулируемых рабочих нагрузок. Дополнительную информацию см. в разделе Использование Cowork в планах Team и Enterprise.
Совместимые назначения
Выход OpenTelemetry Cowork работает с любым стандартным сборщиком OTel. Распространенные назначения включают:
Платформы SIEM такие как Splunk и Cribl
Системы агрегации журналов такие как Elasticsearch и Loki
Хранилища столбцов такие как ClickHouse
Платформы наблюдаемости такие как Honeycomb и Datadog
Вы можете направлять события в несколько назначений одновременно, настроив сборщик соответствующим образом.
Настройка мониторинга OpenTelemetry
Чтобы настроить Cowork для экспорта событий в ваш сборщик:
Откройте Claude Desktop и перейдите в Organization settings > Cowork.
Введите вашу конечную точку OTLP (URL вашего сборщика OpenTelemetry).
Выберите протокол OTLP, который использует ваш сборщик: HTTP/JSON или HTTP/protobuf.
Добавьте любые заголовки OTLP, необходимые для аутентификации, такие как токен носителя.
Сохраните ваши параметры.
События начинают поступать в ваш сборщик немедленно. Заголовки аутентификации зашифрованы в покое на серверах Anthropic.
Соображения безопасности и конфиденциальности
Несколько вещей, о которых следует помнить перед включением экспорта OpenTelemetry:
Содержание запроса пользователя включено в события по умолчанию. Если в вашей организации есть политики против логирования содержания запроса в ваш SIEM, настройте фильтрацию или редактирование в вашем сборщике перед маршрутизацией событий вниз по потоку.
Параметры инструмента могут включать конфиденциальные значения. Пути файлов, аргументы команд и другие входные данные инструмента экспортируются в поле tool_parameters. Планируйте свои политики хранения и доступа соответственно.
Адреса электронной почты пользователей включены в атрибуты события. Если это вызывает беспокойство, отфильтруйте или отредактируйте на сборщике.
События экспортируются только когда администратор настраивает конечную точку OTLP. По умолчанию данные не передаются.
Объединение данных OpenTelemetry с API соответствия
Каждое событие Cowork OTel включает общий идентификатор учетной записи пользователя, который вы можете использовать для корреляции событий с записями из API соответствия. Это позволяет вам создать единое представление, которое объединяет телеметрию в реальном времени из OTel с долгосрочными записями из запросов API соответствия.