本文介绍如何使用 OpenTelemetry (OTel) 监控整个组织中的 Claude Cowork 活动。通过 OTel,您的安全和运维团队可以将 Cowork 事件流式传输到您已在使用的可观测性工具中,以跟踪使用情况、调查事件和分析性能。
Claude Cowork 的 OpenTelemetry 监控功能在 Team 和 Enterprise 计划中可用。它需要 Claude Desktop 版本 1.1.4173 或更高版本。
您可以监控的内容
当您将 Claude Cowork 连接到 OpenTelemetry 收集器时,Cowork 会流式传输涵盖以下内容的事件:
用户提示。用户提交给 Cowork 的提示的完整文本。
工具和 MCP 调用。Claude 在会话期间进行的每个工具调用,包括 MCP 服务器名称、工具名称、参数、成功或失败状态以及执行时间。
文件访问。Claude 在会话期间读取、修改或以其他方式访问的文件路径,包括通过 MCP 访问的文件和文件夹范围内的本地文件。
技能和插件。Claude 在会话中调用的技能和插件。
人工批准决定。每个工具操作是由用户批准、由用户拒绝还是基于现有权限自动启动的。
API 请求和错误。每个请求的模型、令牌计数、估计成本、持续时间以及返回的任何错误。
共享的 prompt.id 属性链接由单个用户提示触发的每个事件,因此您可以重建 Claude 为响应一个输入而执行的所有操作。
有关事件类型和属性的完整列表,请参阅我们 Claude 文档中的 Cowork 监控参考。
何时使用 OpenTelemetry
OpenTelemetry 为您提供结构化 Cowork 事件的实时流,您可以将其路由到现有的 SIEM 和可观测性工具中。它是安全监控和事件调查、跟踪整个组织中的工具和文件访问模式、成本和性能分析以及在现有管道中构建仪表板和警报的正确选择。
OpenTelemetry 不是审计日志的替代品。Cowork 活动目前未在审计日志、合规性 API 或数据导出中捕获,OpenTelemetry 事件不能填补合规性目的的这一空白。如果您的组织需要正式的审计跟踪,请勿将 Cowork 用于受管制的工作负载。有关更多信息,请参阅 在 Team 和 Enterprise 计划中使用 Cowork。
兼容的目标
Cowork 的 OpenTelemetry 输出适用于任何标准 OTel 收集器。常见目标包括:
SIEM 平台,如 Splunk 和 Cribl
日志聚合系统,如 Elasticsearch 和 Loki
列式存储,如 ClickHouse
可观测性平台,如 Honeycomb 和 Datadog
您可以通过相应地配置收集器,同时将事件路由到多个目标。
设置 OpenTelemetry 监控
要配置 Cowork 将事件导出到您的收集器:
打开 Claude Desktop 并导航到 组织设置 > Cowork。
输入您的 OTLP 端点(您的 OpenTelemetry 收集器 URL)。
选择您的收集器使用的 OTLP 协议:HTTP/JSON 或 HTTP/protobuf。
添加身份验证所需的任何 OTLP 标头,例如持有者令牌。
保存您的设置。
事件立即开始流向您的收集器。身份验证标头在 Anthropic 服务器上进行静态加密。
安全和隐私考虑
在启用 OpenTelemetry 导出之前,请注意以下几点:
默认情况下,用户提示内容包含在事件中。如果您的组织有针对将提示内容记录到 SIEM 的政策,请在收集器中配置过滤或编辑,然后再将事件路由到下游。
工具参数可能包含敏感值。文件路径、命令参数和其他工具输入在 tool_parameters 字段中导出。请相应地规划您的保留和访问政策。
用户电子邮件地址包含在事件属性中。如果这是一个问题,请在收集器处过滤或编辑。
仅当管理员配置 OTLP 端点时,才会导出事件。默认情况下不会流动任何数据。
将 OpenTelemetry 数据与合规性 API 结合
每个 Cowork OTel 事件都包含一个共享的用户账户标识符,您可以使用它将事件与 合规性 API 的记录相关联。这使您能够构建一个统一的视图,将来自 OTel 的实时遥测与来自合规性 API 查询的长期记录相结合。