Skip to content

Audit-Log lesen

Wie Sie den Audit-Log Ihres Accounts lesen, filtern, exportieren und für Forensik-Szenarien nutzen.

Auf der Seite /audit-log finden Sie eine unveränderliche Aufzeichnung aller relevanten Aktionen, die an den Ressourcen Ihres Accounts durchgeführt wurden.

Was wird geloggt

Der Audit-Log erfasst alle schreibenden und veröffentlichenden Aktionen:

  • Regeln: Erstellen, Bearbeiten (Entwurf), Veröffentlichen, Archivieren, Entarchivieren.
  • Profile: Erstellen, Entwurf anlegen, Veröffentlichen, Archivieren, Entarchivieren.
  • Spec-Jobs: Einreihen (mit der verwendeten Engine-Version) und Abbrechen.
  • API-Keys: Anlegen, Widerrufen. Das Umbenennen eines Keys wird nicht protokolliert.
  • Engine-Versionen: Registrieren, Als-veraltet-Markieren und Stilllegen von Engine-Versionen auf der Plattform.

Logins und Bundle-Downloads werden nicht im Audit-Log erfasst.

Jeder Eintrag enthält:

Spalte Bedeutung
Zeitpunkt UTC-Zeitstempel (minutengenau); der Tooltip beim Überfahren zeigt einen sekundengenauen Zeitstempel mit Zeitzonen-Offset.
Akteur Nutzer-ID oder API-Key: <Name>, wenn ein API-Key verwendet wurde.
Aktion Technischer Aktionsname (z. B. RuleCreated, ProfilePublished).
Entität Betroffene Ressource mit Link zur Detailseite, sofern vorhanden.
Engine-Version Verwendete Engine, falls zutreffend (Spec-Jobs).
Details Vollständiges Payload als JSON (auf "Anzeigen" klicken).

Filtern und Zeitraum

Die Filterleiste oben schränkt die Ansicht ein:

  • Von / Bis: UTC-Datumsbereich. Standard: letzte 30 Tage.
  • Entitätstyp: beschränkt auf Regel, Profil, API-Key, Spec-Job oder Engine-Version.
  • Aktion: filtert auf einen bestimmten Aktionstyp.
  • Slug: exakter Treffer auf den Entitäts-Slug.

Nach jeder Änderung auf Anwenden klicken, damit die Tabelle neu lädt. Die Tabelle zeigt 100 Einträge pro Seite; mit Zurück / Weiter unterhalb der Tabelle lässt sich blättern.

CSV-Export für externe Tools

Mit CSV exportieren (oben rechts) laden Sie alle passenden Einträge als CSV-Datei herunter. Der Export verwendet dieselben Filter wie die aktuell angezeigte Ansicht und ist auf 100 000 Zeilen begrenzt.

Spalten im CSV: occurredAt, actor, entityType, entitySlug, entityVersion, action, engineVersion, clientIp, payload.

Typische Weiterverarbeitung:

  • Excel / Google Sheets: Datei öffnen, Spalte occurredAt als Datum formatieren.
  • SIEM / Splunk: CSV als Datenquelle einbinden und auf action oder actor alarmieren.

Hinweis: Der Audit-Log und sein CSV-Export sind nur aus einer eingeloggten Browser-Sitzung erreichbar. API-Keys können den Audit-Log nicht lesen, der Export lässt sich daher nicht per API-Key automatisieren.

Aufbewahrung

Audit-Einträge werden 24 Monate lang aufbewahrt. Danach werden sie automatisch gelöscht. Exportieren Sie Einträge, die Sie länger benötigen, rechtzeitig.

Häufige Forensik-Szenarien

Warum ist mein Build seit gestern strenger?

  1. Setzen Sie den Datumsbereich auf gestern.
  2. Wählen Sie Entitätstyp = Profil und Aktion = ProfilePublished.
  3. Klicken Sie auf den Profil-Slug in der Entitäts-Spalte, um die neue Profilversion zu öffnen und die geänderten Regeln oder Schweregrad-Overrides zu sehen.

Alternativ: Entitätstyp = Regel, Aktion = RulePublished zeigt alle Regeln, die gestern eine neue Version erhalten haben.

Wer hat veröffentlicht?

  1. Filtern Sie auf Aktion = ProfilePublished oder RulePublished.
  2. Die Spalte Akteur zeigt die Nutzer-ID oder den API-Key-Namen, die bzw. der die Veröffentlichung ausgelöst hat.

Wann wurde ein API-Key erstellt oder widerrufen?

  1. Wählen Sie Entitätstyp = API-Key.
  2. Setzen Sie den Zeitraum auf den vermuteten Zeitraum.
  3. Die Aktionen ApiKeyCreated und ApiKeyRevoked zeigen den genauen Zeitpunkt und den handelnden Nutzer.

Welche Spec-Jobs hat die Engine X ausgeführt?

  1. Wählen Sie Entitätstyp = Spec-Job.
  2. Tragen Sie im Slug-Feld den Regel-Slug ein, dessen Jobs Sie interessieren.
  3. Die Spalte Engine-Version zeigt, welche Engine-Version jeweils verwendet wurde.