本文說明如何使用 OpenTelemetry (OTel) 監控整個組織中的 Claude Cowork 活動。透過 OTel,您的安全和營運團隊可以將 Cowork 事件串流到您已在使用的可觀測性工具中,以追蹤使用情況、調查事件和分析效能。
Claude Cowork 的 OpenTelemetry 監控適用於 Team 和 Enterprise 方案。需要 Claude Desktop 版本 1.1.4173 或更新版本。
您可以監控的內容
當您將 Claude Cowork 連接到 OpenTelemetry 收集器時,Cowork 會串流涵蓋以下內容的事件:
使用者提示。使用者提交給 Cowork 的提示的完整文字。
工具和 MCP 叫用。Claude 在工作階段期間進行的每個工具呼叫,包括 MCP 伺服器名稱、工具名稱、參數、成功或失敗,以及執行時間。
檔案存取。Claude 在工作階段期間讀取、修改或以其他方式存取的檔案路徑,包括透過 MCP 存取的檔案和資料夾範圍的本機檔案。
技能和外掛程式。Claude 在工作階段內叫用的技能和外掛程式。
人工核准決定。每個工具動作是由使用者核准、由使用者拒絕,還是根據現有權限自動啟動。
API 要求和錯誤。每個要求的模型、權杖計數、估計成本、持續時間和任何傳回的錯誤。
共用的 prompt.id 屬性會連結由單一使用者提示觸發的每個事件,因此您可以重建 Claude 為回應一個輸入而執行的所有操作。
如需完整的事件類型和屬性清單,請參閱我們 Claude 文件中的 Cowork 監控參考。
何時使用 OpenTelemetry
OpenTelemetry 為您提供結構化 Cowork 事件的即時串流,您可以將其路由到現有的 SIEM 和可觀測性工具中。這是安全監控和事件調查、追蹤整個組織中的工具和檔案存取模式、成本和效能分析,以及在現有管道中建立儀表板和警示的正確選擇。
OpenTelemetry 不是稽核記錄的替代品。Cowork 活動目前未在稽核記錄、合規性 API 或資料匯出中擷取,OpenTelemetry 事件不會填補該合規性目的的空白。如果您的組織需要正式的稽核軌跡,請勿將 Cowork 用於受規管的工作負載。如需詳細資訊,請參閱 在 Team 和 Enterprise 方案上使用 Cowork。
相容的目的地
Cowork 的 OpenTelemetry 輸出適用於任何標準 OTel 收集器。常見的目的地包括:
SIEM 平台,例如 Splunk 和 Cribl
日誌聚合系統,例如 Elasticsearch 和 Loki
欄式存放區,例如 ClickHouse
可觀測性平台,例如 Honeycomb 和 Datadog
您可以透過相應地設定收集器,同時將事件路由到多個目的地。
設定 OpenTelemetry 監控
若要設定 Cowork 以將事件匯出到您的收集器:
開啟 Claude Desktop 並瀏覽至 組織設定 > Cowork。
輸入您的 OTLP 端點(您的 OpenTelemetry 收集器 URL)。
選擇您的收集器使用的 OTLP 通訊協定:HTTP/JSON 或 HTTP/protobuf。
新增驗證所需的任何 OTLP 標頭,例如持有人權杖。
儲存您的設定。
事件會立即開始流向您的收集器。驗證標頭在 Anthropic 伺服器上進行靜態加密。
安全和隱私考量
在開啟 OpenTelemetry 匯出之前,請注意以下幾點:
使用者提示內容預設包含在事件中。如果您的組織有針對將提示內容記錄到 SIEM 的政策,請在收集器中設定篩選或編輯,然後再將事件路由到下游。
工具參數可能包含敏感值。檔案路徑、命令引數和其他工具輸入會在 tool_parameters 欄位中匯出。請相應地規劃您的保留和存取政策。
使用者電子郵件地址包含在事件屬性中。如果這是一個問題,請在收集器處篩選或編輯。
只有當管理員設定 OTLP 端點時,才會匯出事件。預設情況下不會流動任何資料。
將 OpenTelemetry 資料與合規性 API 結合
每個 Cowork OTel 事件都包含共用的使用者帳戶識別碼,您可以使用它將事件與 合規性 API 的記錄相互關聯。這可讓您建立統一檢視,結合來自 OTel 的即時遙測與來自合規性 API 查詢的長期記錄。