Что вы проверите
- Какие действия, важные с точки зрения безопасности, фиксируются — изменения состава команды, активность API-ключей и обновления настроек рабочего пространства.
- Как экспортировать полный журнал аудита в CSV для загрузки в SIEM или отчётности по соответствию требованиям.
- Сроки хранения: 90 дней на платных тарифах, 30 дней на Free — и что делать, если нужна более длительная история.
Журнал аудита — это защищенная от подделок запись действий, чувствительных к безопасности, в вашем рабочем пространстве. Он отвечает на вопрос «кто что сделал и когда?» — это полезно для расследования инцидентов, проверок соответствия требованиям и увольнения сотрудников.
Что регистрируется#
Каждая запись содержит информацию об акторе (электронная почта и имя), тип действия, затронутый ресурс и IP-адрес, с которого поступил запрос. В настоящее время регистрируются следующие типы:
| Событие | Описание |
|---|---|
invitation.created | Кто-то был приглашен в рабочее пространство |
invitation.accepted | Приглашение было принято |
invitation.revoked | Приглашение было отменено до его принятия |
member.added | Участник был добавлен в рабочее пространство |
member.removed | Участник был удален |
api_key.created | Был выдан ключ API |
api_key.revoked | Ключ API был отозван |
workspace.updated | Изменено имя рабочего пространства, slug или настройки |
branding.updated | Обновлен пользовательский брендинг (логотип, цвета) |
branding.cleared | Брендинг был сброшен до значений по умолчанию |
Создание, редактирование и удаление ссылок отслеживаются в событиях кликов аналитики и истории ссылок соответственно, а не в журнале аудита. Журнал аудита сосредоточен на административных действиях и действиях по контролю доступа.
Где это найти#
Settings → Security → Audit log (Настройки → Безопасность → Журнал аудита). По умолчанию журнал загружает 200 последних записей, самые новые первыми. Каждая строка показывает актора, описание действия на простом английском языке, любой затронутый ресурс и относительную отметку времени.
Срок хранения#
- Платные планы — 90 дней скользящей истории.
- Бесплатный план — 30 дней скользящей истории.
Записи старше срока хранения удаляются автоматически. Если вам требуется более длительное хранение для соответствия требованиям, регулярно экспортируйте данные (см. ниже) или свяжитесь с нами по поводу корпоративных планов с расширенным хранилищем аудита.
Экспорт в CSV#
Для экспорта журнала аудита:
- Перейдите в Settings → Security → Audit log (Настройки → Безопасность → Журнал аудита).
- Нажмите Export CSV (Экспорт CSV) в верхней части панели журнала.
- Загрузка включает все записи в пределах вашего окна хранения: отметка времени, электронная почта актора, имя актора, тип события, тип цели, ID цели, IP-адрес и любые метаданные.
CSV имеет кодировку UTF-8 с цитированием RFC 4180. Он разработан для чистого импорта в Excel, Google Sheets или инструмент SIEM.
Для автоматического экспорта вы можете использовать API:
curl -H "Authorization: Bearer $ELIDO_API_KEY" \
"https://api.elido.app/v1/audit?workspace_id=<id>&limit=1000"
Конечная точка возвращает JSON; передайте его через jq или свой собственный ETL для преобразования форматов.
Чего нет в журнале аудита#
- События кликов по коротким ссылкам — они находятся в Analytics (Аналитика).
- Создание и редактирование ссылок — они находятся в истории ссылок, видны для каждой ссылки на панели управления.
- События биллинга — счета и изменения подписки находятся в Settings → Billing → Invoice history (Настройки → Биллинг → История счетов).
- Изменения личного профиля (пароль, MFA) — они регистрируются на уровне поставщика удостоверений (Ory Kratos) и здесь не отображаются.
Устранение неполадок#
Журнал пуст. Если рабочее пространство новое, возможно, еще нет регистрируемых событий. Первым событием обычно является api_key.created или member.added. Если у вас была активность, но журнал все еще пуст, убедитесь, что вы находитесь в правильном рабочем пространстве — журналы аудита привязаны к рабочему пространству.
Я вижу журнал, но не могу экспортировать. Для экспорта требуется доступ Owner или Admin. Пользователи уровня Member могут просматривать журнал на панели управления, но не могут его загружать.
Ожидаемое событие не отображается. Проверьте список событий выше. Управление ссылками и события биллинга находятся в разных частях панели управления. Если вы считаете, что действие должно было быть зарегистрировано, но не было, свяжитесь со службой поддержки, указав приблизительное время и электронную почту актора.
Мне нужны журналы старше 90 дней. Записи, выходящие за рамки срока хранения, удаляются безвозвратно, если вы не экспортировали их до срока отсечения. Настройте еженедельный или ежемесячный экспорт, если ваши требования к соответствию превышают 90 дней.