Просто для уточнения: вы спрашиваете о запросах к пользовательскому API, а не о запросах, выполненных с использованием API-ключа, который вы сгенерировали для пользователей на странице «Администрирование / API» вашего сайта Discourse. Запросы к пользовательскому API выделены зеленым цветом на скриншоте ниже:
Подробности о том, для чего используются пользовательские API-ключи, можно найти здесь: User API keys specification.
Если вы не создавали приложение, интегрированное с вашим сайтом Discourse, наиболее вероятные объяснения — либо пользователи входят на сайт через приложение DiscourseHub (https://play.google.com/store/apps/details?id=com.discourse&hl=en&gl=US&pli=1), либо они используют приложение, аналогичное Fig - Native Discourse client for iOS, для взаимодействия с сайтом.
Это не отвечает на все ваши вопросы, но вы можете получить общее представление о том, как используются пользовательские API-ключи, с помощью следующего запроса Data Explorer:
SELECT * FROM user_api_keys
Чтобы получить список приложений, которые делают запросы к пользовательским API-ключам на ваш сайт, и количество пользователей, использующих каждое приложение:
SELECT
application_name,
COUNT(application_name) AS user_count
FROM user_api_keys
GROUP BY application_name
Пользовательские API-ключи, используемые для подключения через приложение DiscourseHub, будут иметь поле application_name со значением «Discourse - unknown».
Если пользователь использует пользовательский API-ключ для взаимодействия с сайтом, в разделе «Безопасность» на странице его настроек появится запись о приложении:
Запись показывает права доступа (scopes), предоставленные приложению. Также вы можете отозвать доступ к приложению.
Я не вижу способа истечь или отозвать все пользовательские API-ключи через интерфейс Discourse. Есть только возможность отзывать ключи по одному на страницах настроек пользователей. Технически можно отозвать все пользовательские API-ключи через консоль Rails, но, вероятно, стоит сначала изучить, как эти ключи используются.