Hermes Agent的用户行为审计怎么做 用户操作日志记录

Hermes Agent用户行为审计实战指南：构建可追溯、可验证的操作日志体系

当您需要对Hermes Agent中用户发起的各类操作行为进行审计时，一套结构化的操作日志机制是基石。这套机制需要覆盖从命令调用、工具执行到会话变更等所有关键交互节点，确保每一步都有迹可循、有据可查。那么，如何具体落地呢？以下是一套从日志输出到风险标记的完整实现方案。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

一、启用并配置操作级日志输出

一切审计的基础，始于详尽的日志记录。通过Log4j2框架，我们可以精准捕获用户触发的每一个动作事件。关键在于，确保每条日志都包含时间戳、操作主体、动作类型及上下文标识，这为后续按用户维度进行筛选和分析铺平了道路。

具体操作路径如下：

1. 首先，打开Hermes Agent安装目录下的 conf/log4j2.xml 配置文件。

2. 接着，在 节点内，新增一个RollingFile Appender。将 fileName 设置为 logs/user-action.log，并配置 filePattern 以实现日志的按日轮转，避免单个文件过大。

3. 然后，在 节点中添加一个新的Logger。设置 name="com.hermes.agent.user"，日志级别 level="INFO"，并将其绑定到上一步创建的Appender上。

4. 别忘了，将该Logger的 additivity 属性设为 false。这一步至关重要，它能防止日志重复写入默认的输出流，保持审计日志的纯净性。

5. 最后，重启Hermes Agent服务。确认在 logs/user-action.log 文件中，已经开始出现包含 user_id、session_id 等关键字段的用户操作记录。

二、在请求入口注入用户上下文信息

手动在每个日志点传递用户信息既繁琐又易出错。更优雅的做法是利用MDC（Mapped Diagnostic Context），在线程处理请求的初始阶段，就将用户身份标识“注入”到上下文中。这样一来，该线程后续产生的所有子日志都会自动携带这些信息，确保了审计链路的完整无缺。

实现步骤可以这样展开：

1. 定位到处理用户请求的入口类，例如 HttpRequestHandler 或 UserSessionRouter，找到其主处理方法。

2. 在方法起始处，插入代码：MDC.put("user_id", currentUser.getIdentifier())，从当前的认证上下文中提取出唯一的用户标识。

3. 同时，调用 MDC.put("session_id", currentSession.getId()) 注入当前会话的ID。

4. 修改 log4j2.xml 中对应Logger的 PatternLayout，在日志格式字符串里加入 %X{user_id} %X{session_id}，让MDC中的值能打印出来。

5. 为确保线程安全，必须在方法末尾的 finally 代码块中执行 MDC.clear()，防止线程池复用导致用户上下文信息错乱。

三、对接SQLite会话数据库进行结构化归档

将日志写入文件只是第一步，若要支持高效的SQL查询与时间窗口聚合分析，就需要将操作行为结构化地归档到数据库中。Hermes Agent内置的SQLite数据库（~/.hermes/state.db）正是为此准备。

具体操作如下：

1. 首先，确认数据库中已存在 t_user_action_log 表。其字段至少应包含：id、user_id、action_type、tool_name、timestamp、status、input_hash。

2. 在 ActionExecutor 类的 execute() 方法返回前，构造一条 INSERT INTO t_user_action_log 的SQL语句，将当前用户ID、动作类型、调用的工具名以及执行结果状态填入其中。

3. 为了识别重复操作或潜在的敏感输入模式，可以对 input 参数内容计算SHA-256哈希值，并存入 input_hash 字段。

4. 归档后，审计查询就变得非常便捷。例如，使用命令：sqlite3 ~/.hermes/state.db "SELECT * FROM t_user_action_log WHERE user_id = 'u_abc123' ORDER BY timestamp DESC LIMIT 10;"，即可快速检索指定用户最近的10条操作记录。

四、通过session_search_tool.py按用户维度定向检索

面对海量日志，逐条解析显然是低效的。Hermes Agent提供的 session_search_tool.py 工具，正是为审计场景量身定制的利器。它支持基于用户标识、时间范围、动作类型等多条件组合查询，并直接输出结构化结果。

使用方法清晰明了：

1. 确保工具具备执行权限：chmod +x tools/session_search_tool.py。

2. 运行复合查询命令，例如：python tools/session_search_tool.py --user-id u_abc123 --since "2026-04-20" --action "tool_call" --status success。这条命令会检索出用户“u_abc123”自4月20日以来所有成功调用工具的记录。

3. 添加 --output csv 参数，可以将查询结果导出为CSV格式，方便直接导入Excel或其它审计系统进行深度分析。

4. 如果想识别用户的异常高频操作，可以追加 --group-by action_type --count 参数，轻松获取该用户各类动作的调用频次统计。

五、启用审计日志联动机制并标记高风险行为

普通的操作日志记录所有行为，而安全审计则要求我们对高风险操作保持格外警惕。因此，需要建立一套联动机制：当用户执行文件读写、终端命令、凭证访问等敏感动作时，除了记录常规操作日志，还需同步写入专门的 audit.log，并打上高风险标签。

实施路径可以这样设计：

1. 检查敏感工具的实现，例如 tools/file_tools.py 中的 read() 与 write() 方法。在其入口处，调用审计日志接口：AuditLogger.audit("file_access", user_id, path, severity="HIGH")。

2. 确认审计日志 audit.log 的路径（通常为 ~/.hermes/audit.log），并确保每条记录都包含 user_id、action、target、severity、timestamp 等核心字段。

3. 进行安全排查时，可以快速定位高风险历史。例如，执行命令：grep -E "user_id:u_abc123.*severity=HIGH" ~/.hermes/audit.log | tail -n 5，即可找出该用户最近5条高风险操作。

4. 为了强化安全策略，可以在 config.yaml 中启用配置项：audit.enforce_on_sensitive_actions: true。这将强制要求所有被标记为HIGH级别的操作，必须通过RBAC（基于角色的访问控制）权限校验后才能执行。

需依托结构化操作日志机制实现可追溯、可验证审计，具体包括：一、启用Log4j2操作级日志；二、通过MDC注入用户上下文；三、对接SQLite归档操作记录；四、使用session_search_tool.py多条件检索；五、联动audit.log标记高风险行为。

☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜