TL;DR : Arcade.dev enregistre automatiquement chaque action administrative sur le runtime (qui l’a faite, comment, ce qui a changé, et quand). Rien à activer. Les journaux d’audit sont actifs par défaut, avec un tableau de bord filtrable et une API REST pour intégrer les données dans vos propres systèmes.
Quand votre équipe fait tourner des agents IA en production, de nombreuses personnes et systèmes modifient le runtime. Des clés API sont renouvelées, des configurations de gateway mises à jour, de nouveaux tools ajoutés aux projets, des permissions ajustées. Une question revient à chaque fois : qui a changé quoi, et quand ?
Votre équipe sécurité va poser la question. Un auditeur SOC 2 aussi. Et quand un workflow tombe à 3h du matin parce que quelque chose a changé dans la plateforme, vous la poserez vous aussi.
Si vous ne pouvez pas répondre clairement, votre projet IA reste bloqué en staging. On a vu des équipes construire quelque chose de vraiment impressionnant, susciter l’enthousiasme général, puis regarder la revue de conformité tuer l’élan faute de trace.
Les journaux d’auditsur Arcade répondent à cette question avant qu’elle ne devienne un blocage. Voici ce qu’ils capturent et comment les utiliser.
Que sont les journaux d’audit pour les runtimes d’agents IA ?
Les journaux d’audit sont un enregistrement automatique et immuable de chaque action administrative sur l’infrastructure où tournent vos agents IA. Sur Arcade, chaque fois que quelqu’un crée un projet, renouvelle une clé API, configure un gateway ou modifie un déploiement, cette action est capturée avec une attribution complète : qui l’a faite, comment, ce qui a changé, et quand.
La journalisation d’audit est activée par défaut sur chaque compte Arcade. Chaque entrée vous dit exactement ce qui s’est passé en langage clair : qui l’a fait, comment, ce qui a changé, et quand.
Voici à quoi ça ressemble concrètement :
Il y a 2 semaines
pascal@arcade.deva créé le Gateway « arcade »
Vous savez qui l’a créé, comment il s’est authentifié, quel gateway c’était, et exactement quand.
Pour les mises à jour, vous ne voyez pas seulement qu’une chose a changé : vous voyez un diff précis de ce qui a été modifié. Pas de doute sur le nom, la config ou les permissions ; vous avez l’avant et l’après.
Vous obtenez ainsi une image complète sans avoir à assembler plusieurs sources de logs pour reconstituer ce qui s’est passé.
Comment suivre les changements sur les projets d’agents IA ?
Le tableau de bord des journaux d’audit vous donne une vue globale de tous les changements sur vos projets. Il se présente comme un tableau filtrable clair où vous pouvez affiner par utilisateur, type de ressource ou action. Besoin de voir ce qui a changé sur un projet précis ? Filtrez par projet. Vous voulez voir tous les renouvellements de clés API dans votre org ? Deux clics.
Voici comment ça fonctionne sous le capot :
Chaque action est capturée par défaut. Rien à configurer, rien à manquer : si ça se passe sur le runtime, c’est dans le journal. Les noms affichés et les détails des ressources sont figés au moment de l’action, so si quelqu’un supprime un projet, le journal montre toujours son nom. Si un membre quitte l’équipe et que son compte est supprimé, ses actions restent attribuées et la trace ne s’interrompt pas.
La couche de journalisation n’ajoute pratiquement aucune surcharge. Les logs couvrent toute l’org mais sont filtrables par projet, pour que les membres voient la trace d’audit de leurs projets sans le bruit du reste. Les prochaines versions permettront de restreindre davantage l’accès aux journaux d’audit.
Les journaux d’audit sont conservés 30 jours. Si vos exigences de conformité nécessitent une durée plus longue,contactez-nous.
Puis-je intégrer les données d’audit de la plateforme dans mes propres systèmes ?
Si vous voulez les événements d’audit en dehors du tableau de bord, une API REST est disponible. Vous pouvez récupérer les logs par programmation pour les envoyer dans votre SIEM, vos outils de conformité ou vos rapports internes.
Récupérez les 10 journaux d’audit les plus récents de votre organisation, filtrés sur les événements de création :
curl -s "https://api.arcade.dev/api/v1/orgs/{org_id}/audit_logs?action=AUDIT_ACTION_CREATED&limit=10" \
-H "Authorization: Bearer $ARCADE_API_KEY"{
"code": 200,
"msg": "Request successful",
"data": {
"items": [
{
"id": "d290f1ee-6c54-4b01-90e6-d701748f0851",
"event_id": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
"timestamp": "2026-02-24T12:34:56.789Z",
"action": "AUDIT_ACTION_CREATED",
"source": "AUDIT_SOURCE_API",
"display_name": "pascal@arcade.dev",
"organization_id": "550e8400-e29b-41d4-a716-446655440000",
"principal_type": "ACCOUNT",
"resource_type": "RESOURCE_TYPE_API_KEY",
"resource_display": "prod-key-1"
}
],
"next_cursor": "MjAyNi0wMi0yNFQxMjo...",
"has_more": true
}
}Consultez ladocumentationpour la référence API complète, les options de filtrage et la pagination.
Pourquoi les runtimes d’agents IA ont-ils besoin de journaux d’audit ?
Les déploiements en production ne sont pas validés sans une trace d’audit claire. Votre équipe sécurité doit voir qui a changé quoi et quand, et « regardez l’historique Slack » n’est pas une réponse qu’elle acceptera.
Imaginez ce qui se passe sans eux : un agent IA misconfigure quelque chose en production, un coéquipier supprime accidentellement un gateway, ou une clé API est renouvelée et soudain un workflow tombe. Sans journaux d’audit, vous fouilllez des fils Slack en demandant « quelqu’un a touché ça ? ». Avec eux, vous avez la réponse en secondes.
Que vous passiez SOC 2, ISO 27001 ou tout autre cadre de conformité exigeant des preuves de gestion des changements, vous obtenez un enregistrement automatique et propre sans que personne n’ait à tout documenter manuellement. Ils répondent aux questions qui bloquent vraiment les mises en production : peut-on prouver qui a autorisé cette action, peut-on retracer ce qui s’est passé et quand, peut-on remettre à l’équipe conformité un dossier propre et avancer ?
Démarrer
Les journaux d’audit font partie de la couche de confiance qui permet aux agents de passer de la démo à la production, et constituent un élément fondamental du runtime Arcade. La journalisation d’audit est active sur chaque compte Arcade.
- Ouvrez votre tableau de bord pour voir le journal d’audit de toute votre org
- Utilisez les filtres pour affiner par projet, utilisateur, type de ressource ou action
- Récupérez les données via l’API REST si vous voulez les événements d’audit dans vos propres systèmes
- Lire la documentationpour la référence API complète
Pas encore sur Arcade ?Inscrivez-vous gratuitement et commencez à construire.
FAQ
Quelles actions sont journalisées ?
Toutes les actions administratives sur le runtime Arcade : création, mise à jour et suppression de projets, clés API, gateways, déploiements et autres ressources. Les journaux d’audit ne couvrent pas encore les exécutions individuelles de tools (cette fonctionnalité sera ajoutée dans une prochaine version).
Dois-je activer quelque chose ?
Non. C’est actif par défaut.
Combien de temps les logs sont-ils conservés ?
30 jours.Contactez-noussi vous avez besoin de plus.
Puis-je exporter les données des journaux d’audit ?
Oui. Une API REST permet de récupérer les événements d’audit dans votre SIEM, vos outils de conformité ou vos systèmes de reporting. Consultez ladocumentationpour la référence API complète.
Qui peut voir les journaux d’audit ?
Chaque membre de l’équipe peut voir la trace d’audit des projets auxquels il appartient. Les logs couvrent toute l’org mais sont filtrables par projet. Des contrôles d’accès supplémentaires seront ajoutés prochainement.
Cette fonctionnalité aide-t-elle pour SOC 2 / ISO 27001 ?
Oui. Des preuves automatisées de gestion des changements avec attribution complète.
