Audit-Protokoll
Jede Administrator- und API-Schlüssel-Änderung in Ihrer Organisation landet in einem einzigen Audit-Stream. Die Audit-Protokoll-Seite filtert, paginiert und exportiert diesen Stream für Incident Response, Änderungshistorie-Überprüfungen und Compliance-Nachweise.
Wo sich das befindet
Seitenleiste → Audit-Protokoll unter dem Abschnitt Übersicht, unter /organization/audit-log. Nur für Organisationsadministratoren sichtbar.
Was aufgezeichnet wird
Änderungen werden auditiert; schreibgeschützte Aktionen (Liste, Get, Dashboard-Abfragen) nicht. Beispiele für auditierte Aktionen umfassen user.invited, user.updated, user.removed, team.created, assignment.created, assignment.updated, apikey.created, apikey.revoked, webhook.created und sarif.ingested. Die vollständige Liste der Aktionsnamen, die jemals von Ihrem Tenant gesehen wurden, ist über das Dropdown-Menü Aktion verfügbar.
Jede Zeile trägt:
| Feld | Bedeutung |
|---|---|
createdAt | UTC-Zeitstempel der Änderung. |
action | Punktbezeichner für das, was passiert ist. |
actorEmail + actorRole | Wer die Aktion ausgeführt hat. Administrator-UI-Änderungen tragen die E-Mail des Menschen und die Rolle org_admin. Öffentliche API-Änderungen tragen apikey:<api-key-uuid> und die Rolle api_key. |
targetType / targetId / targetLabel | Die geänderte Ressource. Der Bezeichner ist eine kurze menschenlesbare Beschreibung, die in der UI verwendet wird. |
metadata | JSON-serialisierter Kontext, der genau beschreibt, was sich geändert hat (z.B. Vorher/Nachher-Fristen bei einer Zuweisung, das Scope-Set auf einem neuen API-Schlüssel). |
ipAddress | Quell-IP der Anfrage, die die Änderung verursacht hat. |
Filterung
Die Seite kombiniert vier Filter; sie schränken alle das Ergebnisset zusammen ein, und ein leerer Filter wird als "beliebiger Wert" behandelt.
- Aktion — exakter Abgleich mit dem Aktionsnamen. Das Dropdown listet jede Aktion auf, die Ihr Tenant jemals aufgezeichnet hat.
- Akteur-E-Mail — exakter Abgleich mit dem Akteursbezeichner. Geben Sie eine menschliche E-Mail für Administrator-UI-Änderungen ein oder fügen Sie
apikey:<api-key-uuid>ein, um die Aktivität eines bestimmten API-Schlüssels zu isolieren. - Von / Bis — inklusive UTC-Datumsgrenzen.
- Seitengröße — standardmäßig 50; begrenzt auf 200.
CSV-Export
Klicken Sie oben rechts auf CSV exportieren, um das gefilterte Ergebnisset herunterzuladen. Der Export enthält jede oben aufgelistete Spalte plus eine metadata-Spalte, die den ursprünglichen JSON-String beibehält — nützlich, wenn die Datei in ein SIEM oder eine Tabelle, die JSON-Zellen parsen kann, geliefert wird.
Programmatischer Zugriff
Derselbe Audit-Stream ist über die öffentliche API über GET /api/public/v1/audit-log mit denselben Abfrageparametern wie die UI erreichbar. Siehe API → Audit-Protokoll für den JSON-Umschlag und Paginierungsregeln. Häufige Automatisierungen umfassen stündliche inkrementelle Polls in ein SIEM (Datadog, Splunk, Elastic) und wöchentliche Dumps in einen Compliance-Nachweisspeicher.
Was nicht gespeichert wird
Die Audit-Zeile speichert die Akteur-E-Mail, Rolle, Ziel-Metadaten, IP-Adresse und einen JSON-Metadaten-Blob. Sie speichert keine Anfragekörper, Antwortkörper oder User-Agent-Strings auf der zurückgegebenen Zeile. Der User-Agent wird serverseitig für Forensik erfasst, wird aber heute weder über die Administrator-UI noch die öffentliche API angezeigt.