Аудит логи
Audit Log JSON-схема является стандартизированным шаблоном или схемой, которая последовательно определяет, как должно выглядеть отдельное событие при записи в журнал аудита, включая: имена полей, типы данных, объекты и структуру.
log
{
"@timestamp": "",
"api_path": "",
"audit": true,
"audit_level": "",
"caller": "",
"client": "",
"event": "",
"ip_address": "",
"level": INFO,
"logger": audit,
"meta": {},
"msg": "",
"session_id": "",
"status": "",
"user_id": "",
"version": "",
"_meta":{
"@processed_date": ""
"cluster": ""
"flatten_field_count": 0
"size": 0
"sub_cluster": ""
"dc": ""
},
"tie_breaker_id": 0
"env": "",
"system": "",
"inst": "",
"group": "",
"dc": "",
"_id": 0
}
Примеры Audit Log
Создание сообщения
log
{
@timestamp: 2026-01-02T15:04:05.000Z
api_path: /api/v4/posts
audit: true
audit_level: audit-content
caller: audit/audit.go:54
client: Mozilla/5.0
event: createPost
ip_address: 00.00.00.00
level: INFO
logger: audit
meta:
{
cluster_id: cluster-id
post:
{
ChannelID: channelID
ID: ID
IsPinned: false
RootID: rootId
Type: type
}
}
}
Изменение параметров конфигурации
log
{
@timestamp: 2026-01-02T15:04:05.000Z
api_path: /api/v4/config
audit: true
audit_level: audit-api
caller: audit/audit.go:54
client: Mozilla/5.0
event: updateConfig
ip_address: 00.00.00.00
level: INFO
logger: audit
meta:
{
cluster_id: time-prod
diff:
[
0:
{
path: Settings.Path
base_val: some_base_val
actual_val: some_actual_val
}
]
}
Создание пользователя
log
{
@timestamp: 2026-04-05T23:11:58.679Z
api_path: /api/v4/users
audit: true
audit_level: audit-api
caller: audit/audit.go:54
client: curl
event: createUser
ip_address: 00.00.00.00
level: INFO
logger: audit
meta:
{
cluster_id: time-prod
code: 501
err: api.user.create_user.signup_email_disabled.app_error
invite_id:
user:
{
ID:
Name: test
Roles:
}
}
}
Модель данных JSON
| Название | Тип | Описание |
|---|---|---|
| @timestamp | string | Дата и время, когда произошло событие или активность. |
| api_path | string | Эндпоинт запроса к server api time. |
| event | string | Навзание исполняемого события. |
| status | string | Успешный/Провальный статус выаолнения события. |
| user_id | string | Айди пользователя иниатора события (если есть). |
| session_id | string | Айди сессии пользователя иниатора события (если есть). |
| client | string | Информация о пользовательском агенте (user agent) клиента или платформы, используемой субъектом события. |
| caller | string | Конкретное место вызова лога |
| ip_address | string | ip адрес инициатора события. |
| audit_level | string | Уровень на котором проводится аудит ("audit-api","audit-content","audit-permissions","audit-cli"). |
| meta | map | Мета данные относящиеся к событию. |
Типы Audit событий
Application events - События управления приложениями
| Название события | Описание |
|---|---|
| createApplication | Создание нового приложения |
| uninstallTeamApplication | Удаление приложения команды |
| updateApplication | Изменение настроек приложения |
| deleteApplication | Полное удаление приложения |
| installApplication | Установка приложения |
| getTeamApplications | Получение списка приложений команды |
| regenApplicationToken | Перегенерация токена приложения |
Audit events - События аудита
| Название события | Описание |
|---|---|
| getAudits | Получение журналов аудита |
Bot events - События управления ботами
| Название события | Описание |
|---|---|
| createBot | Создание нового бота |
| patchBot | Частичное обновление настроек бота |
| updateBotActive | Изменение статуса активности/неактивности бота |
| assignBot | Назначение бота пользователю |
| convertBotToUser | Преобразование бота в пользователя |
Brand events - События управления брендом
| Название события | Описание |
|---|---|
| uploadBrandImage | Загрузка изображения бренда |
| deleteBrandImage | Удаление изображения бренда |
Channel events - События управления каналами
| Название события | Описание |
|---|---|
| createChannel | Создание нового канала |
| updateChannel | Изменение настроек канала |
| updateChannelPrivacy | Изменение видимости канала (публичный/приватный) |
| transformChannel | Преобразование группового сообщения в канал |
| patchChannel | Частичное обновление настроек канала |
| restoreChannel | Восстановление удаленного канала |
| createDirectChannel | Создание канала для личных сообщений (DM) |
| createGroupChannel | Создание канала для групповых сообщений (GM) |
| deleteChannel | Удаление канала |
| updateChannelMemberRoles | Изменение ролей участника канала |
| updateChannelMemberSchemeRoles | Изменение схемных ролей участника канала |
| updateChannelMemberNotifyProps | Изменение настроек уведомлений участника канала |
| addChannelMember | Добавление пользователя в канал |
| addChannelMembers | Добавление нескольких пользователей в канал |
| removeChannelMember | Удаление участника из канала |
| updateChannelScheme | Изменение схемы канала |
| patchChannelModerations | Изменение настроек модерации канала |
| moveChannel | Перемещение канала в другую команду |
Channel category events - События управления категориями каналов
| Название события | Описание |
|---|---|
| createCategoryForTeamForUser | Создание категории каналов для пользователя в команде |
| updateCategoryOrderForTeamForUser | Изменение порядка категорий для пользователя в команде |
| updateCategoriesForTeamForUser | Изменение нескольких категорий каналов для пользователя в команде |
| updateCategoryForTeamForUser | Изменение категории каналов для пользователя в команде |
| deleteCategoryForTeamForUser | Удаление категории каналов для пользователя в команде |
Cloud events - События облачных сервисов
| Название события | Описание |
|---|---|
| createCustomerPayment | Создание записи о платеже клиента |
| confirmCustomerPayment | Подтверждение оплаты клиентом |
Command events - События управления слеш-командами
| Название события | Описание |
|---|---|
| createCommand | Создание новой слеш-команды |
| updateCommand | Изменение настроек слеш-команды |
| moveCommand | Перемещение слеш-команды |
| deleteCommand | Удаление слеш-команды |
| executeCommand | Выполнение слеш-команды |
| regenCommandToken | Перегенерация токена слеш-команды |
| assignCommand | Назначение слеш-команды |
Compliance events - События соответствия требованиям
| Название события | Описание |
|---|---|
| createComplianceReport | Создание отчета о соответствии |
| getComplianceReports | Получение списка отчетов о соответствии |
| getComplianceReport | Получение отчета о соответствии |
| downloadComplianceReport | Скачивание отчета о соответствии |
Config events - События управления конфигурацией
| Название события | Описание |
|---|---|
| getConfig | Получение системной конфигурации |
| configReload | Перезагрузка конфигурации |
| updateConfig | Изменение системной конфигурации |
| patchConfig | Частичное обновление конфигурации |
| localGetConfig | Получение конфигурации (через локальный сокет) |
| localUpdateConfig | Изменение конфигурации (через локальный сокет) |
| localPatchConfig | Частичное обновление конфигурации (через локальный сокет) |
| migrateConfig | Миграция конфигурации |
Data retention events - События политики хранения данных
| Название события | Описание |
|---|---|
| createPolicy | Создание политики хранения данных |
| patchPolicy | Изменение политики хранения данных |
| deletePolicy | Удаление политики хранения данных |
| addTeamsToPolicy | Добавление команд в политику хранения данных |
| removeTeamsFromPolicy | Удаление команд из политики хранения данных |
| addChannelsToPolicy | Добавление каналов в политику хранения данных |
| removeChannelsFromPolicy | Удаление каналов из политики хранения данных |
Elasticsearch events - События Elasticsearch
| Название события | Описание |
|---|---|
| purgeElasticsearchIndexes | Очистка индексов Elasticsearch |
Emoji events - События эмодзи
| Название события | Описание |
|---|---|
| createEmoji | Создание пользовательского эмодзи |
| deleteEmoji | Удаление пользовательского эмодзи |
Export events - События экспорта данных
| Название события | Описание |
|---|---|
| deleteExport | Удаление файла экспорта |
| scheduleExport | Планирование операции экспорта |
| buildExport | Создание экспорта |
| bulkExport | Запуск экспорта данных |
File events - События управления файлами
| Название события | Описание |
|---|---|
| uploadFileSimple | Загрузка файла (простой метод) |
| uploadFileMultipart | Загрузка файла (метод multipart) |
| uploadFileMultipartLegacy | Загрузка файла (устаревший метод multipart) |
| uploadFileStreamBySource | Загрузка файла по потоку |
| getFile | Получение файла |
| deleteFile | Удаление файла |
| getFileLink | Получение ссылки на файл |
Group events - События управления группами
| Название события | Описание |
|---|---|
| createGroup | Создание новой группы |
| patchGroup | Изменение настроек группы |
| linkGroupSyncable | Привязка LDAP-группы к команде или каналу |
| patchGroupSyncable | Изменение настроек синхронизации LDAP-группы |
| unlinkGroupSyncable | Отвязка LDAP-группы от команды или канала |
| deleteGroup | Удаление группы |
| restoreGroup | Восстановление удаленной группы |
| addGroupMembers | Добавление пользователей в группу |
| deleteGroupMembers | Удаление пользователей из группы |
Import events - События импорта данных
| Название события | Описание |
|---|---|
| slackImport | Импорт данных из Slack |
| bulkImport | Импорт данных из подготовленного файла |
Job events - События фоновых заданий
| Название события | Описание |
|---|---|
| createJob | Создание фоновой задачи |
| cancelJob | Отмена фоновой задачи |
| rerunJob | Повторный запуск фоновой задачи |
| jobServer | Запуск сервера фоновых задач |
LDAP events - События LDAP
| Название события | Описание |
|---|---|
| syncLdap | Синхронизация с LDAP |
| linkLdapGroup | Привязка группы LDAP |
| unlinkLdapGroup | Отвязка группы LDAP |
| idMigrateLdap | Миграция идентификаторов в LDAP |
| addLdapPublicCertificate | Добавление публичного сертификата LDAP |
| addLdapPrivateCertificate | Добавление закрытого сертификата LDAP |
| removeLdapPublicCertificate | Удаление публичного сертификата LDAP |
| removeLdapPrivateCertificate | Удаление закрытого сертификата LDAP |
License events - События лицензирования
| Название события | Описание |
|---|---|
| addLicense | Добавление лицензии |
| requestRenewalLink | Запрос ссылки для продления лицензии |
| localAddLicense | Добавление лицензии (через локальный сокет) |
| localRemoveLicense | Удаление лицензии (через локальный сокет) |
OAuth events - События OAuth
| Название события | Описание |
|---|---|
| createOAuthApp | Создание OAuth-приложения |
| updateOAuthApp | Обновление OAuth-приложения |
| deleteOAuthApp | Удаление OAuth-приложения |
| regenerateOAuthAppSecret | Перегенерация секрета OAuth-приложения |
| authorizeOAuthApp | Авторизация OAuth-приложения |
| deauthorizeOAuthApp | Деавторизация OAuth-приложения |
| getAccessToken | Получение токена доступа OAuth |
Plugin events - События плагинов
| Название события | Описание |
|---|---|
| uploadPlugin | Загрузка плагина |
| installPluginFromURL | Установка плагина из URL |
| installMarketplacePlugin | Установка плагина из маркетплейса |
| removePlugin | Удаление плагина |
| enablePlugin | Включение плагина |
| disablePlugin | Отключение плагина |
| setFirstAdminVisitMarketplaceStatus | Установка статуса первого посещения администратором маркетплейса |
| getFirstAdminVisitMarketplaceStatus | Получение статуса первого посещения администратором маркетплейса |
Post events - События сообщений
| Название события | Описание |
|---|---|
| createPost | Создание нового сообщения |
| deletePost | Удаление сообщения |
| updatePost | Изменение содержимого сообщения |
| patchPost | Частичное обновление сообщения |
| saveIsPinnedPost | Изменение статуса закрепления сообщения |
Preference events - События настроек
| Название события | Описание |
|---|---|
| updatePreferences | Изменение пользовательских настроек |
| deletePreferences | Удаление пользовательских настроек |
Remote cluster events - События удаленных кластеров
| Название события | Описание |
|---|---|
| remoteClusterAcceptMessage | Получение сообщения от удаленного кластера |
| remoteClusterAcceptInvite | Получение приглашения от удаленного кластера |
| uploadRemoteData | Прием данных от удаленного кластера |
| remoteUploadProfileImage | Прием изображения профиля от удаленного кластера |
Role events - События ролей
| Название события | Описание |
|---|---|
| patchRole | Частичное изменение роли |
SAML events - События SAML
| Название события | Описание |
|---|---|
| addSamlPublicCertificate | Добавление публичного сертификата SAML |
| addSamlPrivateCertificate | Добавление закрытого сертификата SAML |
| addSamlIdpCertificate | Добавление сертификата IdP SAML |
| removeSamlPublicCertificate | Удаление публичного сертификата SAML |
| removeSamlPrivateCertificate | Удаление закрытого сертификата SAML |
| removeSamlIdpCertificate | Удаление сертификата IdP SAML |
| completeSaml | Завершение SAML-аутентификации |
Scheme events - События схем
| Название события | Описание |
|---|---|
| createScheme | Создание новой схемы разрешений |
| patchScheme | Изменение схемы разрешений |
| deleteScheme | Удаление схемы разрешений |
System events - События системы
| Название события | Описание |
|---|---|
| databaseRecycle | Пересоздание соединений с базой данных |
| resetDatabase | Сброс базы данных |
| invalidateCaches | Очистка системных кэшей |
| getLogs | Получение системных логов |
| setServerBusy | Установка флага высокой нагрузки на сервере |
| clearServerBusy | Снятие флага высокой нагрузки на сервере |
| upgradeToEnterprise | Обновление до корпоративной версии |
| restartServer | Перезагрузка сервера |
| sendWarnMetricAckEmail | Отправка уведомления о метриках |
| requestTrialLicenseAndAckWarnMetric | Запрос пробной лицензии и уведомления о метриках |
| updateViewedProductNotices | Обновление уведомлений о продукте как просмотренных |
| getOnboarding | Получение статуса первоначальной настройки |
| completeOnboarding | Завершение первоначальной настройки |
| getAppliedSchemaMigrations | Получение списка примененных миграций схемы |
| localCheckIntegrity | Проверка целостности базы данных |
Team events - События управления командами
| Название события | Описание |
|---|---|
| createTeam | Создание новой команды |
| updateTeam | Изменение настроек команды |
| patchTeam | Частичное обновление настроек команды |
| restoreTeam | Восстановление удаленной команды |
| updateTeamPrivacy | Изменение приватности команды |
| regenerateTeamInviteId | Перегенерация идентификатора приглашения команды |
| deleteTeam | Удаление команды |
| addTeamMember | Добавление пользователя в команду |
| addUserToTeamFromInvite | Добавление пользователя в команду по приглашению |
| addTeamMembers | Добавление нескольких пользователей в команду |
| removeTeamMember | Удаление участника из команды |
| updateTeamMemberRoles | Изменение ролей участника команды |
| updateTeamMemberSchemeRoles | Изменение схемных ролей участника команды |
| importTeam | Импорт данных команды |
| getInviteBriefInfo | Получение краткой информации о приглашении |
| inviteUsersToTeam | Приглашение пользователей в команду |
| inviteGuestsToChannels | Приглашение гостей в каналы |
| setTeamIcon | Установка иконки команды |
| removeTeamIcon | Удаление иконки команды |
| updateTeamScheme | Изменение схемы разрешений команды |
| modifyDefaultChannels | Изменение списка каналов по умолчанию |
| localDeleteTeam | Удаление команды (через локальный сокет) |
| localInviteUsersToTeam | Приглашение пользователей в команду (через локальный сокет) |
| localCreateTeam | Создание команды (через локальный сокет) |
Template events - События шаблонов
| Название события | Описание |
|---|---|
| createTemplate | Создание нового шаблона |
| patchTemplate | Изменение шаблона |
| deleteTemplate | Удаление шаблона |
Terms of service events - События условий обслуживания
| Название события | Описание |
|---|---|
| createTermsOfService | Создание условий обслуживания |
Upload events - События загрузки
| Название события | Описание |
|---|---|
| createUpload | Создание процесса загрузки |
| uploadData | Загрузка данных |
Session events - События сессий
| Название события | Описание |
|---|---|
| extendSessionExpiry | Продление срока действия сессии |
User events - События управления пользователями
| Название события | Описание |
|---|---|
| guestSignupByToken | Регистрация гостя по токену приглашения |
| createUser | Создание нового пользователя |
| updateUserProfile | Изменение профиля пользователя |
| patchUserProfile | Частичное обновление профиля пользователя |
| setProfileImage | Установка изображения профиля |
| setDefaultProfileImage | Установка изображения профиля по умолчанию |
| updateUser | Изменение информации о пользователе |
| patchUser | Частичное обновление информации о пользователе |
| deleteUser | Удаление пользователя |
| updateUserRoles | Изменение ролей пользователя |
| updateUserActive | Изменение статуса активности/неактивности пользователя |
| updateUserAuth | Изменение метода аутентификации пользователя |
| updateUserMfa | Изменение настроек многофакторной аутентификации пользователя |
| updatePassword | Изменение пароля пользователя |
| resetPassword | Сброс пароля пользователя |
| sendPasswordReset | Отправка письма для сброса пароля |
| login | Вход пользователя в систему |
| logout | Выход пользователя из системы |
| revokeSession | Отзыв сессии пользователя |
| revokeAllSessionsForUser | Отзыв всех сессий пользователя |
| revokeAllSessionsAllUsers | Отзыв всех сессий всех пользователей |
| attachDeviceId | Привязка идентификатора устройства к сессии |
| subscribeWebPush | Подписка на push-уведомления через PWA |
| getUserAudits | Получение журналов аудита пользователя |
| verifyUserEmail | Подтверждение электронной почты пользователя |
| sendVerificationEmail | Отправка письма для подтверждения электронной почты |
| switchAccountType | Смена типа учетной записи |
| createUserAccessToken | Создание персонального токена пользователя |
| revokeUserAccessToken | Отзыв персонального токена пользователя |
| disableUserAccessToken | Отключение персонального токена пользователя |
| enableUserAccessToken | Включение персонального токена пользователя |
| saveUserTermsOfService | Подтверждение принятия пользователем условий обслуживания (ToS) |
| verifyUserEmailWithoutToken | Подтверждение электронной почты без токена |
| convertUserToBot | Преобразование пользователя в бота |
| migrateAuthToLdap | Миграция аутентификации пользователя на LDAP |
| migrateAuthToSaml | Миграция аутентификации пользователя на SAML |
| migrateAuthToOpenID | Миграция аутентификации пользователя на OpenID |
| updateReadStateThreadByUser | Обновление статуса прочтения ветки пользователем |
| viewThreadByUser | Просмотр ветки пользователем |
| setUnreadThreadByPostId | Пометка ветки как непрочитанной |
| unfollowThreadByUser | Отписка от ветки |
| followThreadByUser | Подписка на ветку |
| updateReadStateAllThreadsByUser | Отметка всех отслеживаемых веток как прочитанных |
| localDeleteUser | Удаление пользователя (через локальный сокет) |
| localPermanentDeleteAllUsers | Полное удаление всех пользователей (через локальный сокет) |
Webhook events - События вебхуков
| Название события | Описание |
|---|---|
| createIncomingHook | Создание входящего вебхука |
| updateIncomingHook | Изменение входящего вебхука |
| getIncomingHook | Получение входящего вебхука |
| deleteIncomingHook | Удаление входящего вебхука |
| createOutgoingHook | Создание исходящего вебхука |
| updateOutgoingHook | Изменение исходящего вебхука |
| getOutgoingHook | Получение исходящего вебхука |
| deleteOutgoingHook | Удаление исходящего вебхука |
| regenOutgoingHookToken | Перегенерация токена исходящего вебхука |
| localCreateIncomingHook | Создание входящего вебхука (через локальный сокет) |
| localCreateOutgoingHook | Создание исходящего вебхука (через локальный сокет) |
Channel local events - Локальные события каналов
| Название события | Описание |
|---|---|
| localCreateChannel | Создание канала (через локальный сокет) |
| localUpdateChannelPrivacy | Обновление приватности канала (через локальный сокет) |
| localRestoreChannel | Восстановление канала (через локальный сокет) |
| localAddChannelMember | Добавление пользователя в канал (через локальный сокет) |
| localRemoveChannelMember | Удаление пользователя из канала (через локальный сокет) |
| localPatchChannel | Частичное обновление канала (через локальный сокет) |
| localMoveChannel | Перемещение канала (через локальный сокет) |
| localDeleteChannel | Удаление канала (через локальный сокет) |
Command local events - Локальные события команд
| Название события | Описание |
|---|---|
| localCreateCommand | Создание слеш-команды (через локальный сокет) |