§ SIEM
Datadog-Integration
Übertragen Sie jeden Agent-Trace — einschließlich Policy-Verstößen und Governance-Kontext — in das Datadog Log Management. Erstellen Sie Monitore für das Agentenverhalten mit den Log-Queries, die Ihr Team bereits verwendet.
Funktionsweise
Execlave sendet abgeschlossene Traces asynchron an die Datadog Logs Intake API: Ereignisse werden gebündelt und von einem dedizierten Export-Worker nach dem Commit des Traces zugestellt, sodass die Zustellung dem Enforcement-Pfad niemals Latenz hinzufügt. Fehlgeschlagene Batches werden erneut versucht. Der API-Schlüssel wird im Ruhezustand Envelope-verschlüsselt — er wird niemals als Klartext-Konfiguration gespeichert.
Logs kommen mit source:execlave sowie dem von Ihnen konfigurierten Service und den Tags an, ein strukturiertes Log pro Trace.
Einrichtung
Zwei Schritte: Erstellen Sie einen API-Schlüssel in Datadog und richten Sie Execlave dann auf Ihren Standort aus.
1 · API-Schlüssel in Datadog erstellen
In Datadog: Organization Settings → API Keys → New Key. Notieren Sie Ihren Datadog-Standort anhand der URL, über die Sie sich anmelden — datadoghq.com (US1), datadoghq.eu (EU), us3.datadoghq.com / us5.datadoghq.com usw. Der Intake-Endpunkt wird daraus abgeleitet.
2 · Integration in Execlave konfigurieren
Gehen Sie zu Settings → Integrations und fügen Sie ein Datadog Logs-Ziel hinzu:
| Feld | Wert |
|---|---|
site | Ihr Datadog-Standort, z. B. datadoghq.com oder datadoghq.eu. |
apiKey | Der API-Schlüssel aus Schritt 1 (geheim, im Ruhezustand verschlüsselt). |
service | Optional — Service-Tag für jedes Log (Standard: execlave). |
ddtags | Optional — durch Kommas getrennte Tags, z. B. env:production,team:platform. |
Klicken Sie auf Test connection — Execlave ruft den Datadog-Endpunkt zur Schlüsselvalidierung auf, bevor Exporte aktiviert werden.
Log-Format & Attributreferenz
Jeder Trace ist ein strukturiertes Log. Die Top-Level-Schlüssel werden zu Log-Attributen, nach denen Sie facettieren und Monitore erstellen können.
{ "ddsource": "execlave", "service": "agents-prod", "ddtags": "env:production,team:platform", "hostname": "execlave", "message": "send_email policy_blocked", "timestamp": 1765449600000, "trace_id": "9f4e2c1a-7b3d-4e8f-a1c2-3d4e5f6a7b8c", "organization_id": "org_2x...", "agent_id": "support-bot", "status": "policy_blocked", "model": "gpt-4o", "total_tokens": 412, "cost_usd": 0.0021, "duration_ms": 184, "environment": "production", "span_type": "tool", "span_name": "send_email", "agent_name": "Support Bot", "autonomy_level": "act_with_approval", "agent_status": "active", "idp_bound": true}| Attribut | Beschreibung |
|---|---|
trace_id / parent_trace_id | Trace-Identifikatoren — Join-Schlüssel zurück zum Execlave-Dashboard. |
agent_id / agent_name | Geschäftliche Agenten-ID und Anzeigename aus der Registry. |
status | success · error · timeout · policy_blocked · limit_exceeded · flagged_for_review |
model, prompt_tokens, completion_tokens, total_tokens, cost_usd | Modellnutzung und Kosten. |
duration_ms, environment, span_type, span_name | Ausführungskontext. |
error_type / error_message | Wird bei Error-Spans befüllt. |
session_id / user_id | Zuordnung zum Endnutzer, sofern gemeldet. |
autonomy_level, agent_status, idp_bound | Governance-Kontext: deklarierte Autonomiestufe, Registry-Status und ob der Agent an einen externen Identity Provider gebunden ist. |
Ausgangspunkte für Monitore
Log-Queries als Vorlage für Ihre Monitore — passen Sie die Schwellenwerte an Ihre Flotte an.
Häufung von Policy-Verstößen
# Log monitor: policy violation burst per agentsource:execlave status:(policy_blocked OR flagged_for_review OR limit_exceeded)# group by @agent_id, alert when count > 10 in 15mKosten-Ausreißer
# Log monitor: cost runawaysource:execlave# measure: sum of @cost_usd by @agent_id over 1h, alert above your budget lineAutonome Agenten, die blockiert werden
# Log monitor: blocked tool calls from autonomous-tier agentssource:execlave status:policy_blocked span_type:tool @autonomy_level:autonomous# an autonomous agent hitting blocks is a tiering signal — review or downgradeWenn ein Monitor auslöst, folgen Sie dem Incident-Response-Workflow — pivotieren Sie über trace_id zurück in Execlave, um die Span-Timeline, die Policy-Entscheidung und die Audit-Nachweise einzusehen.