La pista de auditoría
Sea cual sea el resultado de una solicitud — permitida, confirmada, denegada o no resoluble — kovra la registra. kovra audit consulta esa pista. Responde a “¿qué pasó con mis secretos y quién preguntó?” sin convertirse en un nuevo lugar donde un secreto pueda filtrarse: la pista guarda coordenadas, sensibilidad, timestamps y origen — nunca un valor, y nunca una huella lo bastante completa como para confirmar una suposición.
~ % kovra auditTIMESTAMP ACTION COORDINATE SENS ORIGIN FPR RESULT2026-06-05T19:29:26Z create dev/db/password medium human - created2026-06-05T19:29:51Z reveal dev/app/api-key medium human - revealed2026-06-05T19:32:07Z timeout prod/stripe/api-key high human - timeout2026-06-05T19:32:29Z reveal prod/stripe/api-key high human - revealed2026-06-05T19:32:44Z inject dev/db/password medium human - injected5 event(s).Windows — próximamente. El mismo modelo sobre Windows Hello + Credential Manager.
Las columnas
Sección titulada «Las columnas»| Columna | Significado |
|---|---|
TIMESTAMP | Cuándo ocurrió (UTC, RFC-3339). |
ACTION | create, reveal, inject, timeout, … |
COORDINATE | El env/component/key tocado — nunca el valor. |
SENS | La sensibilidad del secreto en ese momento. |
ORIGIN | human o agent — quién lo inició. |
FPR | Una huella corta y truncada cuando es relevante; nunca el hash completo. |
RESULT | A qué se resolvió la solicitud (revealed, injected, denied, timeout, …). |
Filtrado
Sección titulada «Filtrado»Acota la pista a lo que estás investigando:
kovra audit --coordinate dev/db/password # one exact coordinatekovra audit --env prod # everything in an environmentkovra audit --action reveal # only revealskovra audit --since 2026-06-01T00:00:00Z # a time window--component y --until también están disponibles. Como cada entrada lleva el origen, la pista también muestra exactamente qué hizo un agente en tu nombre — y, igual de útil, qué le fue denegado.