飞书智能伙伴Aily之审计日志

功能概述

审计日志功能查询和追溯用户在飞书智能应用平台的操作行为。支持按操作时间、操作的事件类型、操作人等条件查询和导出。支持企业管理员在企业管理后台对不同日志类型的进行开启或关闭、配置不同类型日志的保留时间。

日志类型	审计内容	谁可以看到
企业管理日志	审计企业管理员在企业管理后台的操作行为。	企业管理员（企业管理后台）
应用管理日志	审计应用管理员、应用运维人员、开发者在应用管理后台的操作行为。	企业管理员（企业管理后台）应用管理员（可在应用管理后台查看该应用的管理日志）

适用场景

适用于第三方机构合规审计或企业内部安全合规审计。

使用方式/配置步骤

（一）日志配置

操作步骤

企业管理员可通过如下方式进入企业管理后台：

通过右图中的企业管理平台入口进入

通过链接 https://***.feishu.cn/ai/system 进入

250px|700px|reset

左侧导航菜单选择安全与合规-审计日志

点击右上角审计日志设置

250px|700px|reset

进入审计日志设置弹窗

开启审计日志：全局开关，关闭日志后所有新的行为将不被审核记录，保留期限内的历史审计日志依旧可见。

企业管理员可针对指定类型的日志选择启用或停用，也可以设置日志保留时间，目前支持配置的保留时间为：7天、30天、90天、180天（默认）、一年、永久。

配置完成后点击确定按钮即可。

250px|700px|reset

❗

注意

若日志保留时间缩短，保留时间以外的日志将被删除，如：企业管理日志的保留时间从90 天缩短到30 天后，最近30天以外的数据将被删除。用户在执行相应配置时也会收到弹窗提示。

250px|700px|reset

（二）日志查询

操作步骤

左侧导航菜单选择安全与合规-审计日志，即可查看当前企业的审计日志，具体支持的审计事件时间见审计事件列表，审计日志支持的字段见日志字段说明。

250px|700px|reset

点击查看详情，可查看具体某条日志的详情。包括基础信息、操作详情、操作前后的变更情况、网络信息、设备信息等，具体支持的日志内容见日志字段说明。

250px|700px|reset

筛选

用户可通过三种方式进行日志筛选：

关键词搜索

目前支持搜索的字段：来源页面地址、来源页面域名、路由路径、网关路径、用户代理

250px|700px|reset

时间窗口筛选

支持按照时间窗口快捷筛选，支持的时间窗口：最近1小时、最近3天、最近7天、最近30天、最近90天，以及自定义时间窗口

250px|700px|reset

250px|700px|reset

条件筛选

通过选择左值、操作符、右值的方式进行日志筛选，支持同时添加多组条件，多组条件同时满足的日志会被筛选出来。

支持筛选的字段：事件名称、操作人、操作状态、是否为外部用户、审计域、命名空间、应用名称、环境类型、应用版本、操作来源、数据对象、请求 IP、IP地理位置、IP 供应商、设备 ID、WEB 设备 ID、端类型、操作系统类型、操作系统版本。

目前支持的操作符：等于、不等于、包含、不包含、属于、不属于、为空、不为空

250px|700px|reset

自定义列

点击自定义列按钮，可配置需要列表展示的字段以及顺序。

字段展示：点击小眼睛图标可配置字段在列表的显隐状态

字段顺序：拖动字段，配置列表字段顺序。

目前支持自定义列表展示的字段：操作时间、日志类型、应用名称、命名空间、功能模块、事件名称、事件描述、请求 IP 、操作人、操作状态、审计域、环境类型、数据对象、是否为外部用户、操作来源、来源页面地址、来源也买呢域名、请求方法、路由路径、网关路径、IP地理位置、IP 供应商、设备 ID 、Web设备ID、端类型、操作系统类型、操作系统版本、设备型号。

250px|700px|reset

（三）日志导出

操作步骤

左侧导航菜单选择安全与合规-审计日志。

通过筛选功能，筛选出需要导出的日志。

勾选需要导出的日志。

点击导出按钮。

在浏览器的下载记录中可查看导出的日志文件，格式为.xlsx。

250px|700px|reset

审计事件列表

企业管理日志

功能模块	二级模块	事件名称	事件描述	是否包含操作前后变化情况
安全与合规	审计日志	导出日志	导出了审计日志，筛选条件为{筛选条件}	否
	审计日志			配置日志	修改了日志配置	是
		数据保护（即将上线）	新建策略	新建了数据保护策略「{{策略ID}}」	是
				编辑策略	修改了数据保护策略「{{策略ID}}」	是
				删除策略	删除了数据保护策略「{{策略ID}}」	否

应用管理日志

功能模块	二级模块	事件名称	事件描述	是否包含操作前后变化情况
对话日志	-	查看对话日志	查看了对话日志详情，ID「{{对话ID}}」	否
对话日志		-	添加用例	将对话「{{对话ID}}」添加为技能「{{技能名称}}」的调优台用例	否
技能管理	-	查看技能执行历史	查看了技能「{{技能名称}}」的执行历史	否
数据管理	数据表	新增记录	向数据表「{{数据表名称}}」添加了 {{添加的条数}} 条记录	否
		数据表	批量导入记录	向数据表「{{数据表名称}}」批量导入了 {{添加的条数}} 条记录	否
		数据表	数据导出	从数据表「{{数据表名称}}」中导出了 {{导出的条数}} 条记录	否
		数据表	删除记录	删除了数据表「{{数据表名称}}」的记录，记录 ID：{{记录 ID}}	否
		数据表	批量删除记录	从数据表「{{数据表名称}}」中批量删除了{{删除的条数}}条记录	否
		数据表	编辑记录	编辑了数据表「{{数据表名称}}」的记录，记录 ID：{{记录 ID}}	是
		分析表	SQL 查询分析	进行了 SQL 查询，查询语句{{查询语句}}	否
		分析表	查看详情	查看了分析表「{{分析表}}」的详情	否
		分析表	导出分析表数据	导出了分析表「{{分析表}}」的数据	否
		分析表	启用同步任务	启用了分析表「{{分析表}}」的同步任务，账号凭证:{{凭证ID}}	否
		分析表	添加账号凭证	添加了账号凭证，账号凭证:{{凭证ID}}，来源：分析表-集成外部数据源	否
		分析表	执行数据编排任务	执行了数据编排任务，分析表：「{{表名称}}」	否
		知识库	添加云文档知识	添加了云文档到知识库「{{知识库名称}}」，被添加的文档列表:{{文档url1}}、{{文档url2}}
		知识库	编辑云文档知识	编辑了知识库「{{知识库名称}}」的云文档知识	是
		知识库	添加飞书知识库	添加了飞书知识空间到知识库「{{知识库名称}}」，被添加的知识空间：「{{知识空间}}」（整个空间）	否
		知识库	添加飞书知识库	添加了飞书知识空间到知识库「{{知识库名称}}」，被添加的知识空间：「{{知识空间}}」（部分节点），被添加的节点列表：{{节点名称1}}、{{节点名称2}}	否
		知识库	编辑飞书知识库	编辑了知识库「{{知识库名称}}」的飞书知识空间：「{{知识空间}}」	是
		知识库	添加飞书云盘文件夹	添加了飞书云盘文件夹到知识库「{{知识库名称}}」，被添加的文件夹列表：{{文件夹名称1}}、{{文件夹名称2}}	否
		知识库	添加服务台	添加了飞书服务台到知识库「{{知识库名称}}」,被添加的飞书服务台：{{服务台名称list}}	否
		知识库	编辑服务台	编辑了知识库「{{知识库名称}}」的飞书服务台知识	是
		知识库	添加本地文件	添加了本地文件到知识库「{{知识库名称}}，被添加的文件：{{文件名称list}}	否
		知识库	添加网页	添加了网页到知识库「{{知识库名称}}，被添加的网页：{{网页 URL}}	否
		知识库	删除知识	删除了知识库「{{知识库名称}}」的知识，被删除的知识「{{被删除的知识名称}}」，知识类型「{{被删除的知识类型}}」	否
		知识库	知识检索	执行了知识检索，知识库：「{{知识库名称}}」，知识来源：「{{知识来源名称list}}」，关键词:「{{关键词}}」	否
任务管理	-	新建任务	新建了任务「{{任务名称}}」，任务类型「{{任务类型}}」	是
		-	编辑任务	编辑了任务「{{任务名称}}」，任务类型「{{任务类型}}」	是
		-	查看任务执行历史	新建了任务「{{任务名称}}」的执行历史	否
		-	立即执行任务	手动执行了任务「{{任务名称}}」	否
		-	删除任务	删除了任务「{{任务名称}}」，任务类型「{{任务类型}}」	否
应用管理者授权	-	添加应用管理员	添加「{{人员姓名(邮箱前缀)}}」为应用管理员	否
		-	移除应用管理员	移除了「{{人员姓名(邮箱前缀)}}」的应用管理权限	否
		-	添加开发者	添加「{{人员姓名(邮箱前缀)}}」为开发者	否
		-	移除开发者	移除了「{{人员姓名(邮箱前缀)}}」的开发者权限	否
		-	添加运维人员	添加「{{人员姓名(邮箱前缀)}}」为运维人员	否
		-	移除运维人员	移除了「{{人员姓名(邮箱前缀)}}」的运维权限	否
终端用户访问授权	角色授权管理	设置成员	设置了角色「{{角色名称}}」的成员	是
				设置成员	设置了角色「{{角色名称}}」的成员	是
				设置默认角色	设置「{{角色名称}}」为默认角色	否
				新建角色	新建了「{{角色名称}}」角色	否
				编辑角色	编辑了「{{角色名称}}」角色	是
				编辑基础信息	编辑了「{{角色名称}}」角色的基础信息	是
				启用角色	启用了「{{角色名称}}」角色	否
				停用角色	停用了「{{角色名称}}」角色	否
				删除角色	删除了「{{角色名称}}」角色	否
		应用访问管理	修改可用范围	修改了应用可用范围	是
		应用访问管理		公共账号访问配置	修改了公共账号访问配置	是

日志字段说明

字段类型			字段	说明	导出说明	是否可模糊搜索	是否可筛选	是否可以列表展示	是否可以详情页展示
操作主体相关	操作者	账号信息（操作人）	在界面上展示「头像+姓名」，点击可查看个人信息卡片	导出时候，拆为三个字段：展示操作人+邮箱+账号id	否	是	是	是
	操作者			是否外部用户		原字段导出	否	是	是	是
		网络环境（当前曹祖请求的网络环境）	请求IP		原字段导出	否	是	是	是
				IP 地理位置		原字段导出	否	是	是	是
				IP 供应商		原字段导出	否	是	是	是
				来源页面地址		原字段导出	是	否	是	是
				来源页面域名		原字段导出	是	否	是	是
				请求方法	POST、GET	原字段导出	否	否	是	是
				路由路径	路由定义uri，没有域名	原字段导出	是	否	是	是
				网关路径	网关定义的模版化的路径，在非group domain集群上可能带host	原字段导出	是	否	是	是
		设备环境（当前曹祖请求的设备环境）	设备 ID		原字段导出	否	是	是	是
				Web 设备 ID		原字段导出	否	是	是	是
				端类型	0-Unknown、1-PC、2-Web、3-Android、4-iOS，6-小程序	原字段导出	否	是	是	是
				用户代理		原字段导出	是	否	否	是
				操作系统类型	0-UnKnown、1-Windows、2-Linux、3-Mac、4-Android、5-iOS	原字段导出	否	是	是	是
				操作系统版本		原字段导出	否	是	是	是
				设备型号		原字段导出	否	否	是	是
操作客体相关	环境信息	审计域	企业管理后台/应用管理后台/应用开发平台/应用运行态	原字段导出	否	是	是	是
				命名空间		原字段导出	否	是	是	是
				环境类型	开发环境/测试环境/线上环境	原字段导出	否	是	是	是
				环境ID（暂未上报）	当无环境ID 或审计域为「企业管理后台」中无环境熟悉的操作时候该值为空。前端展示的位环境名称。	原字段导出	否	是	是	是
				应用ID（暂未上报）	当审计域无应用属性时，该值为空。前端展示的位应用名称	原字段导出	否	是	是	是
				应用版本		原字段导出	否	否	否	是
		操作对象	功能模块	参考审计日志事件列表章节的功能模块	原字段导出	否	是	是	是
				二级模块	参考审计日志事件列表章节的二级模块模块	原字段导出	否	是	否	否
				数据对象		原字段导出	否	是	是	是
				对象字段	当日志类型为“数据变更日志”时，具备该字段，其余日志类型可选	原字段导出	否	否	否	是
操作行为相关	操作事件	日志类型	一期支持「企业管理日志」「登录日志」	原字段导出	否	是	是	是
				事件名称	参考审计日志事件列表章节的事件名称	原字段导出	否	是	是	是
				事件描述	参考审计日志事件列表章节的事件描述	原字段导出	否	否	是	是
				操作时间	操作生效的时间	原字段导出	否	是	是	是
				操作来源	主要用于区分数据变更的来源。前端操作（用户通过界面进行的操作）、流程执行、Lowcode、OpenAPI、未知来源	原字段导出	否	是	是	是
操作结果	操作结果	操作状态	成功或失败	原字段导出	否	是	是	是
				失败原因	当操作结果状态为「失败」时具备该字段	原字段导出	否	否	否	是
				操作前后数据变化情况	包含操作前后变更详情的展示。展示该数据的事件见事件列表中包含操作前后数据变化情况的事件。	原字段导出	否	否	否	是

飞书智能伙伴Aily之审计日志

先进团队，先用飞书