Audit export
Export periodique de l'audit log vers un sink externe (S3, Splunk, Datadog). Pour conserver les logs au-dela de la retention Auralith.
Quand l'utiliser
- Conformite SOC 2 / ISO 27001 : retention 7 ans, hors instance applicative.
- SIEM consolide les logs de toute la stack — Auralith doit y feeder.
- Investigation forensique : analyser des annees de logs sans gonfler la base primaire.
Workflow rapide
Admin->Audit export->Ajouter destination.- Choisir le sink :
s3,splunk_hec,datadog. - Renseigner credentials et bucket / endpoint.
- Choisir la frequence : continu (streaming), horaire, quotidien.
- Tester. Auralith envoie un evenement de test que vous verifiez cote sink.
- Activer. Les nouveaux audit events partent en live (ou batch selon frequence).
Concepts cles
- AuditLog : table interne. Persiste tous les events (login, action Mass Patch, approbation, etc.).
- Sink : destination externe. Plusieurs sinks possibles en parallele.
- Format : JSON Lines pour S3, HEC JSON pour Splunk, log API pour Datadog.
- Retention locale : par defaut illimitee. Vous pouvez purger apres N jours
une fois l'export confirme via
cleanup_task.
Pieges courants
- Sink down -> backlog : Auralith bufferise localement. Au-dela d'un seuil, passe en degraded et alerte. Ne perd pas d'event.
- Cout S3 puts : un event par PUT = couteux. Recommande : batch quotidien
qui agrege en un fichier
auralith-audit-YYYYMMDD.jsonl.gz. - PII dans les logs : les audit logs contiennent les emails users, parfois des extraits de SQL. Si vous exportez vers un sink moins securise, pseudonymisez via le filtre opt-in.