Auditní logy zaznamenávají každou akci, která ve vaší organizaci mění stav — přiřazení rolí, úpravy engine, vydání API klíčů nebo změny ve fakturaci — a zobrazují je v prohledávatelné a filtrovatelné časové ose. K dispozici v tarifu Enterprise spolu s funkcí Role a oprávnění.
Na úrovni databáze je log pouze pro přidávání: připojení aplikace nemůže auditní záznamy aktualizovat, mazat ani truncateovat. Co se jednou zapíše, už tam zůstane.
Co se zaznamenává#
Každá událost zachycuje aktéra, akci, cíl a HTTP kontext, přes který požadavek přišel.
| Pole | Poznámky |
|---|---|
| Aktér | Uživatel nebo API klíč, který akci provedl |
| Akce | Typovaná hodnota jako engine.created nebo member.role_changed |
| Cíl | Entita, které se akce týkala (např. engine, role nebo položka glosáře) |
| Metadata | ID souvisejících entit — nikdy názvy, e-maily ani úryvky obsahu |
| Kontext požadavku | request_id, IP adresa, user agent — zaznamenáno při příchodu volání přes HTTP |
| Časové razítko | UTC plus monotónně rostoucí pořadové číslo pro detekci mezer |
Záměrně jen ID
Sloupec metadat ukládá ID, ne hodnoty čitelné pro člověka. UI při čtení doplňuje aktuální názvy, takže přejmenování engine nebo uživatele historii nepřepisuje. Zároveň tím auditní záznamy nevstupují do konfliktu s právem na výmaz podle GDPR — není v nich žádný obsah, který by bylo potřeba redigovat.
Jaké akce pokrýváme#
Události jsou seskupené do kategorií, které odpovídají filtrům v dashboardu.
| Kategorie | Aktuálně zapojené akce |
|---|---|
| Organizace | org.created, org.settings_updated, org.ownership_transferred, org.deleted |
| Členové | member.invited, member.removed, member.role_changed |
| Role | role.created, role.updated, role.deleted |
| Engines | engine.created, engine.updated, engine.deleted |
| API klíče | api_key.created, api_key.revoked |
| Obsah | glossary_item.*, instruction.*, brand_voice.* (jen operace nad jednotlivými položkami) |
Přístup k logu#
Položka Auditní logy se v postranním panelu Organizace zobrazí jen tehdy, když je pro vaši organizaci tato funkce aktivní. Najdete v ní:
- Filtrovatelný seznam — zúžení podle aktéra, kategorie akce, typu cíle a rozsahu dat. Budoucí data nejsou povolená a horní hranice je vždy ≥ dolní hranici.
- Nekonečné scrollování — nejnovější události nahoře, starší se načítají při posouvání.
- Detailní panel — klikněte na libovolný řádek a zobrazí se kompletní metadata, ID požadavku, IP a user agent.
- Obnovit — načte nejnovější události bez ztráty zvolených filtrů. Filtry i otevřená událost se promítají do URL, takže jakýkoli pohled lze sdílet.
Kdo má přístup#
Přístup ke stránce řídí dvě podmínky:
- Entitlement — funkce audit-logs musí být pro organizaci aktivní (tarif Enterprise).
- Oprávnění — role uživatele musí zahrnovat
org:view_audit_logs. Přednastavená role Full Access ho obsahuje ve výchozím nastavení; vlastníci ho mají vždy.
Členové bez tohoto oprávnění místo časové osy uvidí stránku „bez přístupu“. Členové organizace bez tohoto entitlementu uvidí paywall.
Když vám vyprší tarif Enterprise
Auditní logy jsou součástí stejného entitlementu v rámci vrstvy RBAC. Starší události zůstávají v databázi, ale stránka se skryje a endpointy pro čtení vracejí 403, dokud tarif znovu neobnovíte.
Ochrana proti manipulaci#
Auditní logy nejsou jen záznam — dodatečně je měnit je skutečně obtížné.
- Pouze pro přidávání na úrovni databáze. Migrace, která tabulku vytvoří, spouští na API roli příkaz
REVOKE UPDATE, DELETE, TRUNCATE. Jakákoli budoucí cesta v kódu — chyba, nový endpoint, dokonce i SQL injection — je Postgres odmítnuta dřív, než může změnit jediný řádek. - Monotónní sekvence. Každý řádek nese striktně rostoucí sloupec
seq. Auditor může při kontrole sekvence odhalit smazání podle mezer.
Tohle stačí pro kontroly ve stylu SOC 2. Neochrání vás to před útočníkem s přímými přístupovými údaji do produkční databáze — silnější ochrana (samostatná role vlastníka, WORM mirror) je k dispozici na vyžádání.
Retence#
Auditní události se standardně uchovávají neomezeně dlouho. V Enterprise jsou k dispozici vlastní retenční okna — typicky 1, 3 nebo 7 let. Ozvěte se, pokud potřebujete konkrétní retenční politiku kvůli compliance nebo bezpečnostním dotazníkům.
Co zatím nepokrýváme#
Tady jsou některé záměrné hranice první verze, se kterými je dobré počítat:
- Záznam je best-effort, ne transakční. Transakční zapisování je v krátkodobé roadmapě. Auditní událost se zapisuje až po akci, kterou popisuje — ne v rámci stejné databázové transakce. Ve vzácných chybových stavech (kdy akce uspěje a následně selže vložení auditního záznamu) tak může akce proběhnout bez odpovídající události.
- Některé typy akcí ještě nejsou zapojené. Změny členství v engine, připojení / aktualizace / odpojení integrací, úpravy konfigurace modelu, změny fakturačního předplatného a hromadné operace s obsahem (nahrání CSV,
createMany/updateMany/deleteMany) zatím události negenerují. Slovník akcí je ale rezervovaný, takže se po zapojení objeví ve stávajících kategoriích filtrů. - Čtení se neauditují. Zobrazení samotného auditního logu, procházení logů požadavků engine nebo stažení glosáře žádné události nevytváří. Auditují se jen akce měnící stav.
- Exporty zatím nejsou. Auditní data jsou dostupná přes dashboard. Export do CSV, SIEM webhook a zrcadlení do S3 jsou na roadmapě — dejte nám vědět, pokud je potřebujete.
- Žádný pohled omezený na engine. Všechny auditní události organizace žijí v jediné časové ose. Pro zúžení filtrujte podle typu cíle nebo ID cíle.
- Žádný live tail. Seznam se obnovuje na vyžádání nebo po kliknutí na Obnovit — stream přes WebSocket tu není.
