审计日志|飞书低代码平台

功能概述

「审计日志」功能支持查询和追溯用户在飞书低代码平台的操作行为。支持按操作时间、操作的事件类型、操作人等条件查询和导出。支持企业管理员在企业管理后台对不同日志类型的进行开启或关闭、配置不同类型日志的保留时间。

日志类型	审计内容	谁可以看到
企业管理日志	审计企业管理员在企业管理后台的操作行为。	企业管理员（企业管理后台）
应用管理日志	审计应用管理员在应用管理后台的操作行为。	企业管理员（企业管理后台）应用管理员（可在应用管理后台查看该应用的管理日志）
登录日志	终端用户在飞书低代码平台上的登录行为。（目前仅支持对账号密码登录方式的审计，飞书授权登录平台的登录日志在飞书管理后台进行查询。）	企业管理员（企业管理后台）
登录日志		终端用户在客户搭建出的应用上的登录行为（目前仅支持飞书授权登录方式下的登录行为记录）	企业管理员（企业管理后台）应用管理员（可在应用管理后台查看该应用的登录日志）

适用场景

适用于第三方机构合规审计或企业内部安全合规审计。

使用方式

企业管理后台 - 审计日志

📌

面向对象：企业管理员

主要功能：日志配置，日志查询、日志导出

能查看的日志范围：所有日志，目前支持：企业管理日志、应用管理日志、登录日志

（一）日志配置

左侧导航菜单选择安全与合规-审计日志

点击右上角审计日志设置

250px|700px|reset

进入审计日志设置弹窗

开启审计日志：全局开关，关闭日志后所有新的行为将不被审核记录，保留期限内的历史审计日志依旧可见。

企业管理员可针对指定类型的日志选择启用或停用，也可以设置日志保留时间，目前支持配置的保留时间为：7天、30天、90天、180天（默认）、一年、永久。

250px|700px|reset

配置完成后点击确定按钮即可。

❗

注意

若日志保留时间缩短，保留时间以外的日志将被删除。

例如：企业管理日志的保留时间从90 天缩短到30 天后，最近30天以外的数据将被删除。用户在执行相应配置时也会收到弹窗提示。

250px|700px|reset

（二）日志查询

左侧导航菜单选择安全与合规-审计日志，即可查看当前企业的审计日志，具体支持的审计事件时间见审计事件列表，审计日志支持的字段见日志字段说明，日志查询相关功能见日志查询功能部分详细说明。

250px|700px|reset

点击查看详情，可查看具体某条日志的详情。包括基础信息、操作详情、操作前后的变更情况、网络信息、设备信息等，具体支持的日志内容见日志字段说明。

250px|700px|reset

（三）日志导出

左侧导航菜单选择安全与合规-审计日志。

通过筛选功能，筛选出需要导出的日志。

勾选需要导出的日志。

点击导出按钮。

在浏览器的下载记录中可查看导出的日志文件，格式为.xlsx。

250px|700px|reset

（四）日志容量查询

企业管理员企业管理后台-管理看板-资源分析处可查看日志占用的容量空间。

250px|700px|reset

应用管理后台-审计日志

📌

面向对象：应用管理员

主要功能：日志查询、日志导出

能查看的日志范围：该应用下的所有日志，目前支持应用管理日志、应用登录日志

（一）日志查询

访问飞书低代码平台「开发中心」，进入对应「应用管理」页面

点击「审计日志」菜单，即可查看当前企业的审计日志。

具体支持的审计事件时间见审计事件列表，审计日志支持的字段见日志字段说明，日志查询相关功能见日志查询功能部分详细说明。

250px|700px|reset

点击「查看详情」，可查看具体某条日志的详情。包括基础信息、操作详情、操作前后的变更情况、网络信息、设备信息等，具体支持的日志内容见日志字段说明。

250px|700px|reset

（三）日志导出

在应用管理后台，顶部菜单选择审计日志。

通过筛选功能，筛选出需要导出的日志。

勾选需要导出的日志。

点击导出按钮。

在浏览器的下载记录中可查看导出的日志文件，格式为.xlsx。

250px|700px|reset

日志查询功能

筛选

用户可通过三种方式进行日志筛选：

关键词搜索

目前支持搜索的字段：来源页面地址、来源页面域名、路由路径、网关路径、用户代理

250px|700px|reset

时间窗口筛选

支持按照时间窗口快捷筛选，支持的时间窗口：最近1小时、最近3天、最近7天、最近30天、最近90天，以及自定义时间窗口

250px|700px|reset

250px|700px|reset

条件筛选

通过选择左值、操作符、右值的方式进行日志筛选，支持同时添加多组条件，多组条件同时满足的日志会被筛选出来。

支持筛选的字段：事件名称、操作人、操作状态、是否为外部用户、审计域、命名空间、应用名称、环境类型、应用版本、操作来源、数据对象、请求 IP、IP地理位置、IP 供应商、设备 ID、WEB 设备 ID、端类型、操作系统类型、操作系统版本。

目前支持的操作符：等于、不等于、包含、不包含、属于、不属于、为空、不为空

250px|700px|reset

自定义列

点击「自定义列」按钮，可配置需要列表展示的字段以及顺序。

字段展示：点击小眼睛图标可配置字段在列表的显隐状态

字段顺序：拖动字段，配置列表字段顺序。

目前支持自定义列表展示的字段：操作时间、日志类型、应用名称、命名空间、功能模块、事件名称、事件描述、请求 IP 、操作人、操作状态、审计域、环境类型、数据对象、是否为外部用户、操作来源、来源页面地址、来源也买呢域名、请求方法、路由路径、网关路径、IP地理位置、IP 供应商、设备 ID 、Web设备ID、端类型、操作系统类型、操作系统版本、设备型号。

250px|700px|reset

审计事件列表

企业管理日志

功能模块	事件名称	事件描述	是否包含操作前后变化情况
用户与组织	添加外部用户	添加了外部用户 { {姓名} }（{ {手机号} }）	是
		编辑外部用户	编辑了外部用户 { {姓名} }（{ {手机号} }）	是
		发送邀请邮件	给 { {姓名} }（{ {手机号} }）发送了邀请邮件	否
		停用外部账号	停用了外部账号{ {姓名} }（{ {{手机号} }）	否
		启用外部账号	启用了外部账号{ {姓名} }（{ {手机号} }）	否
		删除外部账号	删除了外部账号 { {姓名} }（{ {手机号} }）	否
安全与合规	开启水印	开启了水印	否
		关闭水印	关闭了水印	否
		导出日志	导出了审计日志，筛选条件为{筛选条件}	否
		配置日志	修改了日志配置	是
管理员权限	添加系统管理员	将{ {成员} }添加为系统管理员	否
		移除系统管理员	将{ {成员} }从系统管理员中移除	否
		编辑可新建应用或组件库的用户	修改了可新建应用或组件库的用户	是
应用审核	设置审核规则	编辑了应用审核规则	是
		拒绝审核	拒绝了应用“{ {应用名称} }”的发布审核，拒绝理由「{ {拒绝理由} }」	否
		通过审核	通过了了应用“{ {应用名称} }”的发布审核	否
		开启应用发布免审核	对应用“{ {应用名称} }”开启了发布免审核	否
		关闭应用发布免审核	对应用“{ {应用名称} }”关闭了发布免审核	否
		修改审核方式	修改了审核方式	是
		修改审核人	修改了审核人	是
管理看板	运营分析数据导出	导出了运营分析数据，模块：{ {模块} }，筛选条件为：「{ {筛选条件} }」	否
		资源分析数据导出	导出了资源分析数据，模块：{ {模块} }，筛选条件为：「{ {筛选条件} }」	否
		开发者分析数据导出	导出了开发者分析数据，模块：{ {模块} }，筛选条件为：「{ {筛选条件} }」	否

应用管理日志

功能模块	事件名称	事件描述	是否包含操作前后变化情况
应用角色	转移所有权	将应用所有权转移给{ {人员姓名} }	是
		添加应用管理员	添加{ {人员姓名} }为应用管理员	是
		移除应用管理员	移除了{ {人员姓名} }的应用管理权限	是
		添加开发者	添加{ {人员姓名} }为开发者	是
		移除开发者	移除了{ {人员姓名} }的开发者权限	是
		添加测试人员	添加 { {人员姓名} } 为「{ {环境名称} }」（{ {环境类型} }）的测试人员	是
		移除测试人员	移除了 { {人员姓名} } 在「{ {环境名称} }」（{ {环境类型} }）的测试人员权限	是
		添加数据管理员	添加{ {人员姓名} }为数据管理员	是
		移除数据管理员	移除{ {人员姓名} }的数据管理员权限	是
		开启自动获取权限	管理员和开发者自动获取所有使用权限	是
		关闭自动获取权限	管理员和开发者需经过授权才能获取使用权限	是
应用权限	编辑可用范围	修改了可用范围	是
		编辑邀请外部用户权限	编辑了邀请外部用户权限	是
		编辑通讯录范围	修改了通讯录范围	是
		编辑用户对象字段权限	修改了用户对象字段权限	是
		编辑部门对象字段权限	修改了部门对象字段权限	是
		编辑通讯录增删权限	修改了通讯录增删权限	是
应用安装包	生成安装包链接	生成了安装包链接，链接：{ {链接} }	否
		停用安装包链接	停用了安装包链接，链接：{ {链接} }	否
		启用安装包链接	启用了安装包链接，链接：{ {链接} }	否
运营报表	导出运营报表	导出了运营分析数据，模块：{ {模块} }，筛选条件为：「{ {筛选条件} }」	否
应用监控	添加飞书自定义机器人	添加了飞书自定义机器人（{ {告警类型} }）：「{ {机器人名称} }」	是
		删除飞书自定义机器人	删除了飞书自定义机器人（{ {告警类型} }）：「{ {机器人名称} }」	否
		编辑飞书自定义机器人	编辑了飞书自定义机器人（{ {告警类型} }）：「{ {机器人名称} }」	是
		修改机器人通知频率	修改了机器人通知频率（{ {告警类型} }）	是
		下载函数日志	下载了函数日志，筛选条件为：「{ {筛选条件} }」	否
		开启「打印流程业务数据」	开启了「打印流程业务数据」	是
		停用「打印流程业务数据」	停用了「打印流程业务数据」	是
		新建流程业务数据授权，授权全部流程	新建了流程业务数据授权「{ {授权编号} }」，授权全部流程	是
		新建流程业务数据授权，指定流程	新建了流程业务数据授权「{ {授权编号} }」，授权指定流程	是
		编辑流程业务数据授权	编辑了流程业务数据授权「{ {授权编号} }」	是
		删除流程业务数据授权	删除了流程业务数据授权「{ {授权编号} }」	是
		停用流程业务数据授权	停用了流程业务数据授权，授权编号为 { {授权编号} }	是
		编辑「打印流程范围」	编辑了打印业务数据的流程范围	是
流程管理	设置流程管理员	修改了流程「{ {流程名称} }」的管理员	是
数据管理	编辑对象共享权限	编辑了数据对象「{ {对象名称} }」的跨应用共享权限	是
		通过对象引用申请	通过了来自应用「{ {应用名称} }」的共享对象引用申请，对象：「{ {对象名称} }」	否
		拒绝对象引用申请	拒绝了了来自应用「{ {应用名称} }」的共享对象引用申请，对象：「{ {对象名称} }」	否
		解除对象引用共享	解除了应用「{ {应用名称} }」的共享对象权限，对象：「{ {对象名称} }」	否
		新增对象数据	新增了对象「{ {对象名称} }」的数据，记录ID:{ {记录ID} }	是
		批量新增对象数据	批量新增了对象「{ {对象名称} }」的数据	是
		编辑对象数据	编辑了对象「{ {对象名称} }」的数据记录，记录ID:{ {记录ID} }	是
		批量更新对象数据	批量更新了对象「{ {对象名称} }」的数据记录	是
		删除对象数据	删除了对象「{ {对象名称} }」的数据记录，记录ID:{ {记录ID} }	是
		批量删除对象数据	批量删除了对象「{ {对象名称} }」的数据记录	是
		导出对象数据	导出了对象「{ {对象名称} }」的数据，筛选条件「{ {筛选条件} }」	否
Open API	新建 API 凭证	新建了 API 凭证「{ {凭证名称} }」	是
		编辑 API 凭证	编辑了 API 凭证「{ {凭证名称} }」	是
		重置 API 凭证	重置 API 凭证「{ {凭证名称} }」的 Client Secret	否
		启用 API 凭证	启用了 API 凭证「{ {凭证名称} }」	否
		停用 API 凭证	停用了 API 凭证「{ {凭证名称} }」	否
		删除 API 凭证	删除了 API 凭证「{ {凭证名称} }」	否
		更新文档密码	更新了 API 凭证「{ {凭证名称} }」的文档密码	否
		新建授权开放平台应用	新建了授权开放平台应用「{ {App ID} }」	是
		编辑授权开放平台应用	编辑了授权开放平台应用「{ {App ID} }」	是
		删除授权开放平台应用	删除了授权开放平台应用「{ {App ID} }」	否
		启用授权开放平台应用	启用了授权开放平台应用「{ {App ID} }」	否
		停用授权开放平台应用	停用了授权开放平台应用「{ {App ID} }」	否
权限管理	切换权限管理方式	将权限管理方式切换为了「{ {切换后的权限管理方式} }」	否
		编辑外部鉴权配置	编辑了外部鉴权配置	是
		新建记录权限规则	新建「{ {对象/数据集} }」{ {对象/数据集} }记录权限规则「{ {记录规则名称} }」	是
		编辑记录权限规则	编辑「{ {对象/数据集} }」{ {对象/数据集} }记录权限规则「{ {记录规则名称} }」	是
		删除记录权限规则	删除「{ {数据模型名称} }」{ {对象/数据集} }记录权限规则「{ {记录规则名称} }」	是
		新建角色	新建了角色「{ {角色名称} }」	是
		编辑角色	编辑了角色「{ {角色名称} }」	是
		启用角色	启用了角色「{ {角色名称} }」	否
		停用角色	停用了角色「{ {角色名称} }」	否
		删除角色	删除了角色「{ {角色名称} }」	否
		权限设置	进行了无权限引导页设置	是
		新建指定用户授权	新建了用户授权「{ {规则ID} }」	是
		编辑指定用户授权	编辑了用户授权「{ {规则ID} }」	是
		删除指定用户授权	删除了用户授权「{ {规则ID} }」	否
		新建按规则授权	新建了规则授权「{ {规则ID} }」	是
		编辑按规则授权	编辑了规则授权「{ {规则ID} }」	是
		删除按规则授权	删除了规则授权「{ {规则ID} }」	否
审计日志	导出审计日志	导出了审计日志，筛选条件为{ {筛选条件} }	否

登录日志

功能模块	事件名称	事件描述	是否包含操作前后变化情况
登录登出	内部用户登录	内部用户 { {用户} }}已登录	否
登录登出		外部用户登录	外部用户 { {用户} }已登录	否

日志字段说明

操作		字段	说明	导出说明	是否可模糊搜索	是否可筛选	是否可以列表展示	是否可以详情页展示
操作主体相关	操作者	账号信息（操作人）	在界面上展示「头像+姓名」，点击可查看个人信息卡片	导出时候，拆为三个字段：展示操作人+邮箱+账号id	否	是	是	是
		是否外部用户		原字段导出	否	是	是	是
	网络环境（当前曹祖请求的网络环境）	请求IP		原字段导出	否	是	是	是
		IP地理位置		原字段导出	否	是	是	是
		IP供应商		原字段导出	否	否	是	是
		来源页面地址		原字段导出	是	否	是	是
		来源页面域名		原字段导出	是	否	是	是
		请求方法	POST、GET	原字段导出	否	否	是	是
		路由路径	路由定义uri，没有域名	原字段导出	是	否	是	是
		网关路径	网关定义的模版化的路径，在非group domain集群上可能带host	原字段导出	是	否	是	是
		设备 ID		原字段导出	否	是	是	是
		Web 设备 ID		原字段导出	否	是	是	是
		端类型	0-Unknown、1-PC、2-Web、3-Android、4-iOS，6-小程序	原字段导出	否	是	是	是
		用户代理		原字段导出	是	否	否	是
		操作系统类型	0-UnKnown、1-Windows、2-Linux、3-Mac、4-Android、5-iOS	原字段导出	否	是	是	是
		操作系统版本		原字段导出	否	是	是	是
		设备型号		原字段导出	否	否	是	是
操作客体相关	环境信息	审计域	企业管理后台/应用管理后台/应用开发平台/应用运行态	原字段导出	否	是	是	是
		命名空间		原字段导出	否	是	是	是
		环境类型	开发环境/测试环境/线上环境	原字段导出	否	是	是	是
		环境ID（暂未上报）	当无环境ID 或审计域为「企业管理后台」中无环境熟悉的操作时候该值为空。前端展示的位环境名称。	原字段导出	否	是	是	是
		应用ID（暂未上报）	当审计域无应用属性时，该值为空。前端展示的位应用名称	原字段导出	否	是	是	是
		应用版本		原字段导出	否	否	否	是
	操作对象	功能模块	参考审计日志事件列表章节的功能模块	原字段导出	否	是	是	是
		数据对象		原字段导出	否	是	是	是
		对象字段	当日志类型为“数据变更日志”时，具备该字段，其余日志类型可选	原字段导出	否	否	否	是
操作行为相关	操作事件	日志类型	一期支持「企业管理日志」「登录日志」	原字段导出	否	是	是	是
		事件名称	参考审计日志事件列表章节的事件名称	原字段导出	否	是	是	是
		事件描述	参考审计日志事件列表章节的事件描述	原字段导出	否	是	是	是
		操作时间	操作生效的时间	原字段导出	否	否	是	是
		操作形式	主要用于区分数据变更的来源。前端操作（用户通过界面进行的操作）、流程执行、Lowcode、OpenAPI、未知来源	原字段导出	否	是	是	是
操作结果	操作结果	操作状态	成功或失败	原字段导出	否	是	是	是
		失败原因	当操作结果状态为「失败」时具备该字段	原字段导出	否	否	否	是
		操作前后数据变化情况	包含操作前后变更详情的展示	原字段导出	否	否	否	是

审计日志|飞书低代码平台

先进团队，先用飞书