Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Afficher les spans de trace Model Armor

Ce document décrit les délais Model Armor dans les traces et explique comment afficher leurs détails. Pour en savoir plus sur les traces, consultez Afficher les traces d'agent.

À propos de Cloud Trace et de l'observabilité des agents

Une trace représente le chemin d'une requête dans les différentes parties de votre application distribuée. Autrement dit, chaque trace représente une seule opération de bout en bout. Les traces sont composées de délais, qui sont des enregistrements pour une seule fonction ou opération. Elles vous permettent de suivre le flux des requêtes et d’examiner les données de latence. Ces informations peuvent vous aider à identifier la cause première d'un problème.

Cloud Trace est le système de traçage distribué pour Google Cloud, et il fournit des fonctionnalités permettant d'explorer les traces ou d'analyser les données de trace avec SQL. Toutefois, de nombreux Google Cloud services, tels qu' Application Monitoring et Agent Registry, peuvent afficher les données gérées par Cloud Trace. Ces services vous permettent d'afficher les données de trace dans le contexte du service que vous utilisez.

Avant de commencer

Activez les API Cloud Trace, Cloud Logging, Telemetry et Model Armor.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.
Activer les API
Configurez le traçage pour votre agent.
Configurez Model Armor sur une passerelle ou sur un Google Cloud serveur MCP.

Rôles requis

Pour obtenir les autorisations nécessaires pour afficher les données de trace, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Utilisateur Cloud Trace (roles/cloudtrace.user)
Lecteur de journaux (roles/logging.viewer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les autres rôles dont vous pourriez avoir besoin, consultez Contrôle des accès Cloud Trace et Contrôle des accès Cloud Logging.

Charges utiles compatibles

Pour obtenir la liste des charges utiles compatibles, consultez Charges utiles compatibles et non compatibles charges utiles.

Pour une requête contenant une charge utile non compatible, Model Armor génère un segment avec une erreur.

Noms et attributs des segments Model Armor

Les délais Model Armor suivants sont disponibles :

Délai parent : apply_guardrail "Google Cloud Model Armor"
Délai enfant : Request Path
Délai enfant : Response Path

Les sections suivantes listent tous les attributs possibles d'un délai Model Armor. Tous les attributs ne sont pas présents dans chaque délai. Ces noms d'attributs sont susceptibles d'être modifiés.

Attributs du segment parent

Le délai parent, apply_guardrail "Google Cloud Model Armor", présente les attributs suivants :

cloud.provider : fournisseur de services cloud associé à l'opération.
cloud.region : la Google Cloud région où l'opération a eu lieu.
gcp.project_id : ID du projet dans lequel l'opération a eu lieu.
rpc.system: framework ou protocole d'appel de procédure à distance (RPC) sous-jacent utilisé pour l'opération, par exemple grpc.
service.name : le Google Cloud service associé à l'opération. Pour les délais Model Armor, la valeur de ce champ est modelarmor.

Attributs du chemin de requête

Le délai enfant Request Path présente les attributs suivants :

gen_ai.security.target.type: type de contenu ou d'action auquel la barrière de sécurité est appliquée. Dans le délai Request Path, il s'agit toujours de input.
gen_ai.security.decision.type: verdict ou action appliqué par Model Armor. La valeur modify indique que Model Armor a expurgé (désidentifié) les données sensibles du contenu conformément au modèle fourni.
gen_ai.security.decision.code : code numérique pour la décision de sécurité.
gen_ai.security.decision.reason : raison de la décision lisible par l'utilisateur.
gen_ai.security.policy.id : nom complet de la ressource du modèle Model Armor au format projects/PROJECT_ID/locations/LOCATION/templates/MODEL_ARMOR_TEMPLATE_ID.
gen_ai.security.policy.name: nom du modèle Model Armor utilisé pour l'opération.
gcp.modelarmor.filter.match.state : indique si le contenu a enfreint l'un des filtres Model Armor (également appelés détecteurs).
gcp.modelarmor.violations: filtres Model Armor que le contenu a enfreints. La valeur deidentified indique que Model Armor a expurgé les données sensibles du contenu conformément au modèle fourni.
gcp.modelarmor.rai.violation: catégories d'IA responsable que le contenu a enfreintes. Pour en savoir plus, consultez Filtre de sécurité de l'IA responsable.
error.type : identifiant de l'erreur rencontrée.

Attributs du chemin de réponse

Le délai enfant Response Path présente les attributs suivants :

gen_ai.security.target.type: type de contenu ou d'action auquel la barrière de sécurité est appliquée. Dans le délai Response Path, il s'agit toujours de output.
gen_ai.security.decision.type: verdict ou action appliqué par Model Armor. La valeur modify indique que Model Armor a expurgé (désidentifié) les données sensibles du contenu conformément au modèle fourni.
gen_ai.security.decision.code : code numérique pour la décision de sécurité.
gen_ai.security.decision.reason : raison de la décision lisible par l'utilisateur.
gen_ai.security.policy.id : nom complet de la ressource du modèle Model Armor au format projects/PROJECT_ID/locations/LOCATION/templates/MODEL_ARMOR_TEMPLATE_ID.
gen_ai.security.policy.name: nom du modèle Model Armor utilisé pour l'opération.
gcp.modelarmor.filter.match.state : indique si le contenu a enfreint l'un des filtres Model Armor (également appelés détecteurs).
gcp.modelarmor.violations: filtres Model Armor que le contenu a enfreints. La valeur deidentified indique que Model Armor a expurgé les données sensibles du contenu conformément au modèle fourni.
gcp.modelarmor.rai.violation: catégories d'IA responsable que le contenu a enfreintes. Pour en savoir plus, consultez Filtre de sécurité de l'IA responsable.
error.type : identifiant de l'erreur rencontrée.

Afficher les détails d'un segment Model Armor

Pour afficher un segment Model Armor et ses détails, y compris ses attributs et son DAG, procédez comme suit :

Dans la Google Cloud console, accédez à Agent Registry.
Accéder à Agent Registry
Sélectionnez votre projet.
Cliquez sur le nom de l'agent.
Cliquez sur l'onglet Traces.
Cliquez sur l'ID d'une trace que vous souhaitez afficher. Si la trace implique un segment Model Armor, la trace inclut le segment apply_guardrail "Google Cloud Model Armor".
Explorez la trace :
- Pour afficher la trace sous forme de graphe orienté acyclique (DAG), cliquez sur la vue Graphique. Cette vue représente la trace d'exécution d'un agent sous forme de diagramme de liens entre les nœuds. Les DAG mettent en évidence les relations de cause à effet et les dépendances entre les différents délais de trace, et montrent comment une opération déclenche la suivante. Chaque nœud du graphe est un segment.
- Pour afficher la trace sous forme de chronologie, cliquez sur la vue Chronologie. Chaque barre de la chronologie représente un délai.
Cliquez sur un segment pour afficher ses attributs.

Vous pouvez également cliquer sur Afficher dans Cloud Trace pour afficher tous les délais de votre projet via l'explorateur de traces. Appliquez des filtres de délai pour rechercher le apply_guardrail "Google Cloud Model Armor" délai.