Conceptos

Estados de acción

Los cinco estados terminales en los que termina cada traza de RenLayer, ALLOWED, FLAGGED, DENIED, DLP_BLOCKED, DLP_WARNED, y cómo interpretarlos en la consola y la API.

Cada acción que el proxy de RenLayer maneja termina en uno de cinco estados. Aparecen como insignias de color en la consola, como el campo status en cada traza de la API y en el gráfico de desglose del dashboard. Entender qué significa cada uno, y qué no significa, es la base para trabajar con RenLayer con eficacia.

Los cinco estados

`ALLOWED`

La petición coincidió con una política permisiva (o ninguna política) y se reenvió al upstream. La traza registra la petición, la respuesta, la latencia y el conteo de tokens.

Es el estado esperado para tráfico rutinario. Un tenant sano ve la mayoría de sus trazas como ALLOWED.

`FLAGGED`

La petición coincidió con una política FLAG. Se reenvió al upstream, el comportamiento del agente no cambia, pero la traza se marca para revisión y aparece en el conteo de marcadas del dashboard.

FLAGGED no es un bloqueo. Úsalo para contenido del que quieras tener visibilidad sin perturbar a los agentes (p. ej. “marca cada prompt que mencione el nombre de un cliente”).

`DENIED`

La petición coincidió con una política DENY o alcanzó un límite de tasa. No se reenvió al upstream. El agente recibió un error estructurado 403 (política) o 429 (límite de tasa).

La traza registra la política o el límite que se activó. DENIED es el resultado de aplicación más fuerte del motor de políticas.

`DLP_BLOCKED`

Un detector DLP coincidió con una severidad que activa bloqueo (típicamente CRITICAL). La petición no se reenvió; el agente recibió un 403 estructurado con una explicación redactada. La traza registra el detector, el span coincidente (redactado) y la severidad.

DLP_BLOCKED es paralelo a DENIED pero causado por escaneo de contenido en lugar de por coincidencia de política.

`DLP_WARNED`

Un detector DLP coincidió con una severidad no bloqueante (típicamente HIGH o MEDIUM). La petición sí se reenvió; la traza registra el hallazgo para visibilidad y afinado.

DLP_WARNED es el equivalente de FLAGGED para detección basada en contenido, informativo, no aplicador.

Cómo se combinan

Una única petición se evalúa en este orden:

Autenticación: fallar aquí devuelve 401 y no se escribe traza.
Límites de tasa: fallar aquí produce DENIED con razón rate_limit_exceeded.
Políticas: la primera política coincidente gana (ALLOW, FLAG, DENY).
DLP: se ejecuta en paralelo con la decisión de política; puede escalar un ALLOWED a DLP_WARNED o sobrescribir a DLP_BLOCKED.

El status registrado es el resultado más fuerte entre estas etapas.

Filtrado y consulta

En la consola:

El dashboard separa los cinco como series independientes.
Las sesiones pueden filtrarse a uno (o varios) de estos estados.
El log de auditoría usa el mismo vocabulario al describir eventos relacionados con trazas.

En la API:

Los endpoints de trazas aceptan un filtro status que toma uno o varios de estos valores.
El campo status es estable entre versiones de API.

A dónde ir después

Proxy: políticas: ALLOW, FLAG, DENY.
Proxy: DLP: DLP_BLOCKED, DLP_WARNED.
Proxy: límites de tasa: DENIED con razón de cuota.

Última actualización: 16 de abril de 2026