如何审计OpenClaw用户的操作日志？​

审计 OpenClaw 用户的操作日志是保障系统安全、追溯责任和排查问题的核心环节。根据您的需求，可以通过以下三种主要方式进行审计：

⚙️ 1. 配置并开启本地审计功能

这是最基础的审计方式，通过配置 OpenClaw 自身功能，将用户的操作行为、技能调用、模型调用等记录到本地文件中。

* 开启审计：在 OpenClaw 的配置中启用审计功能。
openclaw config set audit.enable true

* 设置日志路径：指定审计日志的保存位置，默认为 ~/.openclaw/audit。
openclaw config set audit.logPath "/path/to/your/audit/logs"

* 配置保留周期：设置日志的保留天数，以满足审计合规要求（例如保留30天或更长）。
openclaw config set audit.retentionDays 30

* 重启服务：配置完成后，需要重启 OpenClaw 服务使其生效。
systemctl restart openclaw

配置完成后，您可以使用 tail -f 等命令实时查看最新的审计日志。

🔍 2. 使用 CLI 命令和日志文件进行查询

OpenClaw 提供了强大的命令行工具 claw logs，可以灵活地查询和分析日志。

* 基础查询：
* claw logs: 查看最新的 100 行日志。
* claw logs --follow (或 -f): 实时跟踪日志输出。
* claw logs --lines 500 (或 -n 500): 查看最新的 500 行日志。

* 精准筛选：这是排查特定问题的关键。
* 按技能筛选：claw logs --skill agent-browser 仅查看 agent-browser 技能的日志。
* 按级别筛选：claw logs --level ERROR 只看错误日志，快速定位故障。
* 按时间筛选：claw logs --since 1h 查看近1小时的日志。
* 组合筛选：claw logs -s agent-browser -l ERROR --since 1h 查看 agent-browser 技能在近1小时内的所有错误日志。

* 直接查看日志文件：
您也可以直接访问日志文件进行更深入的分析。
* Linux/Mac: ~/.openclaw/logs/openclaw.log
* Windows: C:Users\.openclawlogsopenclaw.log

☁️ 3. 接入企业级日志服务 (SLS) 进行集中审计

对于企业级用户，推荐将 OpenClaw 的日志接入阿里云日志服务（SLS）等集中式平台，实现更强大的安全审计、成本分析和行为观测。

* 核心价值：SLS 为 OpenClaw 提供了预置的安全审计大盘，可以直观地展示高危命令执行、网页请求外发、提示词注入尝试等七项关键安全指标，帮助安全团队快速判断风险水位。
* 接入方式：
1. 在阿里云开通日志服务（SLS）并创建 Project。
2. 在服务器上安装 LoongCollector 采集 agent。
3. 在 SLS 控制台创建 Logstore，并通过“一键接入”功能，根据指引配置日志文件路径（如 ~/.openclaw/logs/ 下的 session 日志），即可自动完成采集配置、索引创建和仪表盘生成。

通过 SLS，您可以实现日志的长期存储、防篡改、跨地域备份以及与 SIEM（安全信息和事件管理）系统的联动，满足更高级别的合规与审计要求。