Аудит-лог

Аудит-лог — это неизменяемый журнал действий в воркспейсе. Он отвечает на вопросы «кто это сделал», «когда», «с какого устройства», «что именно поменял». Нужен для безопасности, расследования инцидентов, соответствия закону 152-ФЗ и внутренних проверок.

Что логируется

AG0NTS записывает в аудит-лог все значимые события. Условно их можно разделить на шесть групп.

1. Вход и сессии

• Вход в систему (email + IP + User-Agent + устройство)
• Неудачные попытки входа (5+ подряд → срабатывает alerting)
• Смена пароля
• Включение/отключение 2FA
• Новый доверенный браузер
• Выход из системы (вручную или по таймауту)

2. Команда и роли

• Приглашение нового участника (кто пригласил, на какой email, с какой ролью)
• Принятие приглашения (когда зашёл впервые)
• Смена роли участника (кто изменил, на какую роль)
• Удаление участника
• Смена владельца воркспейса

3. Документы и AI-сотрудники

• Загрузка нового документа (кто, какой файл, размер, ботам кто привязан)
• Редактирование документа (diff старая/новая версия)
• Удаление документа
• Создание нового AI-сотрудника
• Изменение промта AI-сотрудника (было / стало)
• Изменение тона, границ, правил эскалации
• Подключение / отключение документов к боту

4. Каналы и интеграции

• Подключение канала (Telegram, WhatsApp, email, сайт, голос)
• Изменение настроек канала
• Отключение канала
• Ротация API-ключей провайдеров (OpenAI, SIP, WABA)

5. Данные клиентов

• Массовый экспорт диалогов (кто, по каким фильтрам, сколько штук)
• Массовый экспорт документов
• Удаление диалогов / данных клиента по GDPR-запросу
• Открытие конкретного диалога (только при включенной опции расширенного аудита)

6. Оплата и тариф

• Смена тарифа
• Привязка способа оплаты
• Выставление счёта
• Оплата
• Использование лимитов (превышение объёма)

Где смотреть

Админ → Аудит-лог.

Две вкладки:

• Лента — хронологический список событий, новые сверху
• Поиск — свободный поиск по ключевым словам, именам, типам событий

В каждой строке:

• Время (UTC и локальное)
• Кто сделал (имя, email, роль)
• Что сделал (текст события, с ссылкой на изменённый объект)
• С какого IP / устройства / браузера
• Детали (раскрывается при клике — например, diff документа)

Фильтры

В верхней панели:

• Период: последний час / сегодня / 7 дней / 30 дней / кастомный диапазон
• Тип события: вход / документы / команда / каналы / экспорт / биллинг
• Пользователь: конкретный человек
• Объект: конкретный документ, AI-сотрудник, канал
• Результат: успех / отказ (403) / ошибка
• IP: фильтр по подсети

Комбинировать можно любые. Часто используемые:

• «Все изменения промта AI-сотрудника за месяц» — тип: AI-сотрудники + действие: редактирование
• «Кто-то выгружал диалоги в субботу?» — период: weekend + тип: экспорт
• «Неудачные входы за сутки по IP-X» — период: 24ч + тип: вход + результат: отказ + IP: X

Поиск

Свободнотекстовый поиск по всем полям. Например:

• "Анна" — найдёт все действия пользователя с именем Анна
• "refund_policy.pdf" — найдёт все события, связанные с этим файлом
• "ip:185.*" — регулярка по IP

Поисковый движок индексирует лог в реальном времени, задержка 5–10 сек.

Детали события: пример

Раскройте событие «Изменение промта AI-сотрудника», и вы увидите:

Событие: Изменение системного промта
AI-сотрудник: Анна (школа английского)
Пользователь: Олег Петров (admin@yourcompany.ru)
IP: 185.91.xxx.xxx (Москва, Россия)
Устройство: Chrome 120 на macOS
Время: 2026-05-12 14:23:12 UTC
---
Было:
"Ты консультант онлайн-школы X. Отвечай вежливо, на "вы"."

Стало:
"Ты консультант онлайн-школы X. Отвечай вежливо, на "вы".
Никогда не называй фамилии преподавателей — вместо этого передавай запрос куратору."

При необходимости вы можете нажать «Откатить» — вернуть предыдущее значение. Откат фиксируется в аудит-логе отдельным событием.

Retention — сколько хранится

Правила хранения зависят от тарифа:

После истечения retention события архивируются в зашифрованное cold-storage. Если нужно посмотреть очень старое событие — напишите в поддержку AG0NTS, обычно возвращаем в течение 1–3 рабочих дней.

Экспорт аудит-лога

Разовый экспорт в CSV

Админ → Аудит-лог → Экспорт → CSV.

В таблице колонки:

• timestamp — время в ISO 8601
• user_id — идентификатор пользователя
• user_email — email
• user_role — роль на момент события
• action_type — категория (login, document_edit, export, …)
• action — точное название действия
• object_type — тип объекта (document, agent, channel, …)
• object_id — ID объекта
• object_name — человекочитаемое имя
• ip — IP-адрес
• user_agent — браузер/устройство
• result — success / denied / error
• details — JSON с дополнительной информацией (diff, старое/новое значение)

Экспорт в JSONL

Для машинной обработки, BI-систем, SIEM (Splunk, Elasticsearch, Datadog). Формат:

{"ts":"2026-05-12T14:23:12Z","user":"admin@...","action":"agent.prompt_update","agent_id":"ag_xxx","ip":"185.x.x.x","result":"success","details":{...}}

Автоэкспорт в SIEM

На Business и Enterprise тарифах доступен непрерывный webhook-стрим событий в вашу SIEM-систему:

Настройки → Интеграции → SIEM Webhook → URL + Auth token.

AG0NTS отправляет POST-запрос на ваш endpoint сразу после каждого события. Задержка — 1–3 сек. Retry с экспоненциальным backoff при ошибках.

Поддерживаются готовые форматы: Splunk HEC, Elastic ECS, Datadog, Microsoft Sentinel, Chronicle, raw JSONL.

Alerting — сигналы в реальном времени

Аудит-лог может не только записывать, но и уведомлять о подозрительных событиях.

Админ → Аудит-лог → Правила alerting → Добавить.

Готовые шаблоны:

• Подозрительные входы — 5+ неудачных попыток входа с одного IP за минуту
• Массовый экспорт — больше 1 000 диалогов за раз
• Вход из новой страны — первый вход из региона, где пользователь раньше не был
• Удаление документа — всегда уведомлять владельца и админов
• Смена роли — уведомлять владельца при каждом изменении роли
• Доступ в нерабочее время — вход между 22:00 и 06:00 МСК

Уведомления:

• Email владельцу и выбранным администраторам
• Сообщение в Telegram (админский канал)
• Webhook в вашу систему
• Сообщение в Slack / Microsoft Teams канал

Типичные сценарии использования

Инцидент: «кто-то удалил документ»

1. Аудит-лог → Фильтр: тип = документы + действие = удаление + период = сегодня.
2. Видите: «Олег Петров удалил refund_policy.pdf в 14:23».
3. Нажимаете «Восстановить» — документ возвращается из корзины (хранится 30 дней после удаления).
4. Спрашиваете Олега, что произошло.

Расследование: «клиент получил неправильный ответ»

1. Открываете диалог в разделе «Чаты».
2. Копируете ID документа, на который сослался бот.
3. Аудит-лог → Поиск: этот ID.
4. Видите: последнее редактирование было неделю назад, новый абзац внёс Иванов, формулировка ошибочная.
5. Правите документ, Иванова предупреждаете.

Проверка Роскомнадзора

1. Экспорт всего аудит-лога за запрашиваемый период в CSV.
2. Отдельно экспорт событий GDPR/152-ФЗ-запросов (GDPR-журнал).
3. Показываете договор об обработке ПД + аудит-лог + факт обучения сотрудников.

Смена подрядчика

1. Аудит-лог → Фильтр: пользователь = выходящий подрядчик + период = всё.
2. Видите, что именно он трогал.
3. Проверяете, что ничего критичного не осталось в подвешенном состоянии.

Частые ошибки

В логе нет события, которое точно произошло

Проверьте retention своего тарифа: событие могло уйти в холодное хранилище. Также: некоторые события (просмотр конкретного диалога) логируются только при включённой опции «Расширенный аудит».

В логе странный IP — это хакер?

Не обязательно. Сначала проверьте: не работает ли пользователь из дома / через VPN / с мобильного? Затем: не сработало ли автомасштабирование нашего backend и не показал ли он свой внутренний IP (редко, но бывает). Если сомневаетесь — поддержка AG0NTS разберёт за 1 час.

Аудит-лог нельзя отредактировать / удалить

Это правильно — лог неизменяемый, это ключевое свойство. Даже владелец воркспейса не может переписать историю. Единственное, что можно — ограничить, кто его видит (по умолчанию — только владелец и админы).

Webhook SIEM не получает события

Проверьте: URL доступен снаружи? Ответ 200 OK? Если от вашего endpoint приходит 4xx/5xx — AG0NTS retryит до 24 часов, потом сохраняет ошибку в «Не доставлено» и уведомляет администратора.

Что дальше