Audit-Log¶
Lückenloser Trail aller Admin-Aktionen, Quarantäne-Aktionen, Policy-Änderungen, Lizenz-Events und Cluster-Operations clusterweit.
Tabelle¶
| Feld | Bedeutung |
|---|---|
| Time | Zeitstempel UTC |
| Node | Cluster-Node von dem die Aktion kam (für Drift-Diagnose) |
| Actor | Welcher Benutzer (User-ID + E-Mail) oder welcher API-Key |
| Actor-Type | admin_user / api_token / system (z.B. Cron-Tick, Lizenz-Refresh) |
| Action | z.B. domain.create, quarantine.release, mail_config.update |
| Resource | Welche Ressource (z.B. Domain example.com, Mail-ID, etc.) |
| Detail | JSON-Blob mit Pre-/Post-Werten bei Änderungen |
Filter¶
- Zeitraum, Actor, Action, Resource (Substring), Node
- Severity —
info/warn/error
Cluster-Aggregat¶
Logs aggregieren per mTLS über alle Nodes. Sortierung chronologisch — der Operator sieht clusterweit was wann passiert ist, egal auf welchem Node.
Drill-Down¶
Klick auf eine Zeile öffnet Detail-Modal mit: - Vollem JSON-Detail (Pre- und Post-Werte bei Updates) - Verlinkter Resource (z.B. Klick auf eine Domain-Update-Aktion → öffnet die Domain-Detail-Page mit „as-of-then"-State)
Export¶
CSV-Export für externe SIEM-Anbindung. Alternativ: API-Endpoint GET /api/v1/audit/logs mit Cursor-Pagination — typischerweise pollt der SIEM-Forwarder alle 5 Minuten.
Aufbewahrung¶
Audit-Logs werden Standardmäßig 365 Tage aufbewahrt. Compliance-Setups (Anwälte, Banken, KRITIS) können das auf bis zu 10 Jahre setzen — siehe Mail-Konfiguration → Retention-Sektion.