Auf der Seite /audit-log finden Sie eine unveränderliche Aufzeichnung aller relevanten Aktionen, die an den Ressourcen Ihres Accounts durchgeführt wurden.
Was wird geloggt
Der Audit-Log erfasst alle schreibenden und veröffentlichenden Aktionen:
- Regeln: Erstellen, Bearbeiten (Entwurf), Veröffentlichen, Archivieren, Entarchivieren.
- Profile: Erstellen, Entwurf anlegen, Veröffentlichen, Archivieren, Entarchivieren.
- Spec-Jobs: Einreihen (mit der verwendeten Engine-Version) und Abbrechen.
- API-Keys: Anlegen, Widerrufen. Das Umbenennen eines Keys wird nicht protokolliert.
- Engine-Versionen: Registrieren, Als-veraltet-Markieren und Stilllegen von Engine-Versionen auf der Plattform.
Logins und Bundle-Downloads werden nicht im Audit-Log erfasst.
Jeder Eintrag enthält:
| Spalte | Bedeutung |
|---|---|
| Zeitpunkt | UTC-Zeitstempel (minutengenau); der Tooltip beim Überfahren zeigt einen sekundengenauen Zeitstempel mit Zeitzonen-Offset. |
| Akteur | Nutzer-ID oder API-Key: <Name>, wenn ein API-Key verwendet wurde. |
| Aktion | Technischer Aktionsname (z. B. RuleCreated, ProfilePublished). |
| Entität | Betroffene Ressource mit Link zur Detailseite, sofern vorhanden. |
| Engine-Version | Verwendete Engine, falls zutreffend (Spec-Jobs). |
| Details | Vollständiges Payload als JSON (auf "Anzeigen" klicken). |
Filtern und Zeitraum
Die Filterleiste oben schränkt die Ansicht ein:
- Von / Bis: UTC-Datumsbereich. Standard: letzte 30 Tage.
- Entitätstyp: beschränkt auf Regel, Profil, API-Key, Spec-Job oder Engine-Version.
- Aktion: filtert auf einen bestimmten Aktionstyp.
- Slug: exakter Treffer auf den Entitäts-Slug.
Nach jeder Änderung auf Anwenden klicken, damit die Tabelle neu lädt. Die Tabelle zeigt 100 Einträge pro Seite; mit Zurück / Weiter unterhalb der Tabelle lässt sich blättern.
CSV-Export für externe Tools
Mit CSV exportieren (oben rechts) laden Sie alle passenden Einträge als CSV-Datei herunter. Der Export verwendet dieselben Filter wie die aktuell angezeigte Ansicht und ist auf 100 000 Zeilen begrenzt.
Spalten im CSV: occurredAt, actor, entityType, entitySlug,
entityVersion, action, engineVersion, clientIp, payload.
Typische Weiterverarbeitung:
- Excel / Google Sheets: Datei öffnen, Spalte
occurredAtals Datum formatieren. - SIEM / Splunk: CSV als Datenquelle einbinden und auf
actionoderactoralarmieren.
Hinweis: Der Audit-Log und sein CSV-Export sind nur aus einer eingeloggten Browser-Sitzung erreichbar. API-Keys können den Audit-Log nicht lesen, der Export lässt sich daher nicht per API-Key automatisieren.
Aufbewahrung
Audit-Einträge werden 24 Monate lang aufbewahrt. Danach werden sie automatisch gelöscht. Exportieren Sie Einträge, die Sie länger benötigen, rechtzeitig.
Häufige Forensik-Szenarien
Warum ist mein Build seit gestern strenger?
- Setzen Sie den Datumsbereich auf gestern.
- Wählen Sie Entitätstyp = Profil und Aktion = ProfilePublished.
- Klicken Sie auf den Profil-Slug in der Entitäts-Spalte, um die neue Profilversion zu öffnen und die geänderten Regeln oder Schweregrad-Overrides zu sehen.
Alternativ: Entitätstyp = Regel, Aktion = RulePublished zeigt alle Regeln, die gestern eine neue Version erhalten haben.
Wer hat veröffentlicht?
- Filtern Sie auf Aktion = ProfilePublished oder RulePublished.
- Die Spalte Akteur zeigt die Nutzer-ID oder den API-Key-Namen, die bzw. der die Veröffentlichung ausgelöst hat.
Wann wurde ein API-Key erstellt oder widerrufen?
- Wählen Sie Entitätstyp = API-Key.
- Setzen Sie den Zeitraum auf den vermuteten Zeitraum.
- Die Aktionen
ApiKeyCreatedundApiKeyRevokedzeigen den genauen Zeitpunkt und den handelnden Nutzer.
Welche Spec-Jobs hat die Engine X ausgeführt?
- Wählen Sie Entitätstyp = Spec-Job.
- Tragen Sie im Slug-Feld den Regel-Slug ein, dessen Jobs Sie interessieren.
- Die Spalte Engine-Version zeigt, welche Engine-Version jeweils verwendet wurde.