Zum Hauptinhalt springen

Katalog der Audit-Ereignisse

Dieser Katalog listet alle Namen und Kategorien der VaultPAM-Audit-Ereignisse der öffentlichen Stufe auf. Er richtet sich an SIEM-Ingenieure, die Erkennungsregeln erstellen, und an Compliance-Prüfer, die die Audit-Abdeckung validieren — nicht an Entwickler, die Client-Integrationen gegen das vollständige Ereignisschema erstellen. Das vollständige Feldschema (Akteur, Ziel, Metadaten, Aufbewahrung) ist in der zugriffsbeschränkten API-Referenz verfügbar; wenden Sie sich an den Support, um Zugriff anzufordern.

Dieser Katalog wird automatisch aus der Quelle generiert. Bearbeiten Sie ihn nicht direkt. Zum Neugenerieren führen Sie scripts/docs/generate_audit_event_catalog.sh aus.

Control-Plane-Ereignisse

KonstanteWire-StringKategorie
AGENT_PAIRING_INITIATEDAgent Pairing InitiatedAgent / Konnektivität
AGENT_PAIRING_COMPLETEDAgent Pairing CompletedAgent / Konnektivität
AGENT_PAIRING_FAILEDAgent Pairing FailedAgent / Konnektivität
AGENT_HEARTBEAT_RECEIVEDAgent Heartbeat ReceivedAgent / Konnektivität
AGENT_CONNECTIVITY_CHECKAgent Connectivity CheckAgent / Konnektivität
CONNECTOR_REGISTRATIONConnector RegistrationAgent / Konnektivität
CONNECTOR_UPGRADEConnector UpgradeAgent / Konnektivität
CONNECTOR_DECOMMISSIONEDConnector DecommissionedAgent / Konnektivität
USER_ACCESS_REQUEST_CREATEDUser Access Request CreatedIdentität / Zugriff / Freigabe
ACCESS_REQUEST_APPROVEDAccess Request ApprovedIdentität / Zugriff / Freigabe
ACCESS_REQUEST_REJECTEDAccess Request RejectedIdentität / Zugriff / Freigabe
ACCESS_DELEGATION_GRANTEDAccess Delegation GrantedIdentität / Zugriff / Freigabe
ACCESS_DELEGATION_REVOKEDAccess Delegation RevokedIdentität / Zugriff / Freigabe
ROLE_ASSIGNMENT_CHANGEDRole Assignment ChangedIdentität / Zugriff / Freigabe
POLICY_ASSIGNMENT_CHANGEDPolicy Assignment ChangedIdentität / Zugriff / Freigabe
MFA_CHALLENGE_TRIGGEREDMFA Challenge TriggeredIdentität / Zugriff / Freigabe
MFA_VERIFICATION_SUCCEEDEDMFA Verification SucceededIdentität / Zugriff / Freigabe
MFA_VERIFICATION_FAILEDMFA Verification FailedIdentität / Zugriff / Freigabe
MFA_SESSIONS_INVALIDATEDMFA Sessions InvalidatedIdentität / Zugriff / Freigabe
MFA_RECOVERY_REQUESTEDmfa.recovery.requestedIdentität / Zugriff / Freigabe
MFA_RECOVERY_VERIFIEDmfa.recovery.verifiedIdentität / Zugriff / Freigabe
MFA_RECOVERY_PENDING_ADMIN_APPROVALmfa.recovery.pending_admin_approvalIdentität / Zugriff / Freigabe
MFA_RECOVERY_APPROVEDmfa.recovery.approvedIdentität / Zugriff / Freigabe
MFA_RECOVERY_DENIEDmfa.recovery.deniedIdentität / Zugriff / Freigabe
MFA_RECOVERY_GRANT_ISSUEDmfa.recovery.grant_issuedIdentität / Zugriff / Freigabe
MFA_RECOVERY_GRANT_CONSUMEDmfa.recovery.grant_consumedIdentität / Zugriff / Freigabe
MFA_RECOVERY_EXPIREDmfa.recovery.expiredIdentität / Zugriff / Freigabe
MFA_RECOVERY_COMPLETEDmfa.recovery.completedIdentität / Zugriff / Freigabe
MFA_BACKUP_CODES_GENERATEDmfa.backup_codes.generatedIdentität / Zugriff / Freigabe
MFA_BACKUP_CODES_USEDmfa.backup_codes.usedIdentität / Zugriff / Freigabe
MFA_BACKUP_CODES_REGENERATEDmfa.backup_codes.regeneratedIdentität / Zugriff / Freigabe
PRIVILEGED_ACCOUNT_CREATEDPrivileged Account CreatedKonten / Secrets / Anmeldeinformationen
PRIVILEGED_ACCOUNT_UPDATEDPrivileged Account UpdatedKonten / Secrets / Anmeldeinformationen
PRIVILEGED_ACCOUNT_DISABLEDPrivileged Account DisabledKonten / Secrets / Anmeldeinformationen
CREDENTIAL_CHECKOUT_STARTEDCredential Check-out StartedKonten / Secrets / Anmeldeinformationen
CREDENTIAL_CHECKOUT_COMPLETEDCredential Check-out CompletedKonten / Secrets / Anmeldeinformationen
CREDENTIAL_CHECKIN_COMPLETEDCredential Check-in CompletedKonten / Secrets / Anmeldeinformationen
CREDENTIAL_ROTATION_STARTEDCredential Rotation StartedKonten / Secrets / Anmeldeinformationen
CREDENTIAL_ROTATION_COMPLETEDCredential Rotation CompletedKonten / Secrets / Anmeldeinformationen
CREDENTIAL_ROTATION_FAILEDCredential Rotation FailedKonten / Secrets / Anmeldeinformationen
SECRET_ACCESSEDSecret Accessed (Metadata-only)Konten / Secrets / Anmeldeinformationen
CONNECTION_DEFINITION_CREATEDConnection Definition CreatedVerbindungen / Sitzungen
CONNECTION_DEFINITION_UPDATEDConnection Definition UpdatedVerbindungen / Sitzungen
CONNECTION_DEFINITION_DELETEDConnection Definition DeletedVerbindungen / Sitzungen
SESSION_START_REQUESTEDSession Start RequestedVerbindungen / Sitzungen
SESSION_ESTABLISHEDSession EstablishedVerbindungen / Sitzungen
SESSION_RECORDING_STARTEDSession Recording StartedVerbindungen / Sitzungen
SESSION_POLICY_ENFORCEDSession Policy EnforcedVerbindungen / Sitzungen
SESSION_SUSPENDEDSession SuspendedVerbindungen / Sitzungen
SESSION_TERMINATED_BY_USERSession Terminated by UserVerbindungen / Sitzungen
SESSION_TERMINATED_BY_ADMINSession Terminated by AdminVerbindungen / Sitzungen
SESSION_TERMINATED_BY_SYSTEMSession Terminated by SystemVerbindungen / Sitzungen
SESSION_RECORDING_FINALIZEDSession Recording FinalizedVerbindungen / Sitzungen
SESSION_PLAYBACK_ACCESSEDSession Playback AccessedVerbindungen / Sitzungen
HTTP_SESSION_STARTEDHTTP_SESSION_STARTEDVerbindungen / Sitzungen
HTTP_SESSION_ENDEDHTTP_SESSION_ENDEDVerbindungen / Sitzungen
HTTP_URL_DENIEDHTTP_URL_DENIEDVerbindungen / Sitzungen
HTTP_CREDENTIAL_INJECTEDHTTP_CREDENTIAL_INJECTEDVerbindungen / Sitzungen
AUDIT_LOG_VIEWEDAudit Log ViewedAdministration / Plattform / Audit
AUDIT_LOG_EXPORT_REQUESTEDAudit Log Export RequestedAdministration / Plattform / Audit
AUDIT_LOG_EXPORT_COMPLETEDAudit Log Export CompletedAdministration / Plattform / Audit
RETENTION_POLICY_CHANGEDRetention Policy ChangedAdministration / Plattform / Audit
TENANT_SETTINGS_UPDATEDTenant Settings UpdatedAdministration / Plattform / Audit
API_TOKEN_CREATEDAPI Token CreatedAdministration / Plattform / Audit
API_TOKEN_REVOKEDAPI Token RevokedAdministration / Plattform / Audit
SECURITY_INCIDENT_FLAGGEDSecurity Incident FlaggedAdministration / Plattform / Audit
SYSTEM_ERROR_LOGGEDSystem Error LoggedAdministration / Plattform / Audit
INVITATION_SENTInvitation SentEinladungslebenszyklus
INVITATION_ACCEPTEDInvitation AcceptedEinladungslebenszyklus
INVITATION_REVOKEDInvitation RevokedEinladungslebenszyklus
INVITATION_RESENTInvitation ResentEinladungslebenszyklus
INVITATION_EXPIREDInvitation ExpiredEinladungslebenszyklus
INVITATION_ACCEPT_BLOCKEDInvitation Accept BlockedEinladungslebenszyklus
INVITE_ACCEPT_STARTEDinvite_accept_startedEinladungslebenszyklus
INVITE_TOKEN_INVALID_OR_EXPIREDinvite_token_invalid_or_expiredEinladungslebenszyklus
INVITE_EMAIL_MISMATCH_BLOCKEDinvite_email_mismatch_blockedEinladungslebenszyklus
INVITE_ACCEPTEDinvite_acceptedEinladungslebenszyklus
ORG_SUBMISSION_STARTEDorg_submission_startedEinladungslebenszyklus
ORG_SUBMISSION_SUBMITTEDorg_submission_submittedEinladungslebenszyklus
ORG_SUBMISSION_APPROVEDorg_submission_approvedEinladungslebenszyklus
ORG_SUBMISSION_REJECTEDorg_submission_rejectedEinladungslebenszyklus
PROVIDER_FLOW_FAILEDprovider_flow_failedEinladungslebenszyklus
PENDING_STATE_VIEWEDpending_state_viewedEinladungslebenszyklus
PLATFORM_USER_INVITEDPlatform User InvitedVerwaltung der Plattformbenutzer
PLATFORM_USER_REMOVEDPlatform User RemovedVerwaltung der Plattformbenutzer
PLATFORM_USER_ROLE_CHANGEDPlatform User Role ChangedVerwaltung der Plattformbenutzer
PLATFORM_USER_MFA_RESETPlatform User MFA ResetVerwaltung der Plattformbenutzer
PLATFORM_INVITATION_ACCEPTEDPlatform Invitation AcceptedVerwaltung der Plattformbenutzer
PLATFORM_USER_INVITE_REJECTEDPlatform User Invite RejectedVerwaltung der Plattformbenutzer
PLATFORM_SELF_REMOVAL_BLOCKEDPlatform Self Removal BlockedVerwaltung der Plattformbenutzer
PLATFORM_LAST_ADMIN_REMOVAL_BLOCKEDPlatform Last Admin Removal BlockedVerwaltung der Plattformbenutzer
PLATFORM_LAST_ADMIN_MFA_RESET_BLOCKEDPlatform Last Admin MFA Reset BlockedVerwaltung der Plattformbenutzer
PLATFORM_USERS_LISTEDPlatform Users ListedVerwaltung der Plattformbenutzer
PLATFORM_INVITATIONS_LISTEDPlatform Invitations ListedVerwaltung der Plattformbenutzer
GROUP_CREATEDgroup.createdGruppen / Safe-Zugriff
GROUP_UPDATEDgroup.updatedGruppen / Safe-Zugriff
GROUP_DELETEDgroup.deletedGruppen / Safe-Zugriff
GROUP_MEMBER_ADDEDgroup.member.addedGruppen / Safe-Zugriff
GROUP_MEMBER_REMOVEDgroup.member.removedGruppen / Safe-Zugriff
SAFE_GROUP_ASSIGNMENT_CREATEDsafe.group_assignment.createdGruppen / Safe-Zugriff
SAFE_GROUP_ASSIGNMENT_UPDATEDsafe.group_assignment.updatedGruppen / Safe-Zugriff
SAFE_GROUP_ASSIGNMENT_REMOVEDsafe.group_assignment.removedGruppen / Safe-Zugriff
SAFE_MEMBER_ADDEDsafe.member.addedGruppen / Safe-Zugriff
SAFE_MEMBER_ROLE_UPDATEDsafe.member.role_updatedGruppen / Safe-Zugriff
SAFE_MEMBER_REMOVEDsafe.member.removedGruppen / Safe-Zugriff
SAFE_DERIVED_ACCESS_GRANTEDsafe.derived_access.grantedGruppen / Safe-Zugriff
SAFE_DERIVED_ACCESS_REVOKEDsafe.derived_access.revokedGruppen / Safe-Zugriff
SAFE_DERIVED_ACCESS_ROLE_CHANGEDsafe.derived_access.role_changedGruppen / Safe-Zugriff
GROUP_MUTATION_DENIEDgroup.mutation.deniedGruppen / Safe-Zugriff
ORG_GOVERNANCE_ACTION_REQUESTEDorg_governance.action_requestedOrganisationsbezogene Governance-Aktionen
ORG_GOVERNANCE_ACTION_APPROVEDorg_governance.action_approvedOrganisationsbezogene Governance-Aktionen
ORG_GOVERNANCE_ACTION_REJECTEDorg_governance.action_rejectedOrganisationsbezogene Governance-Aktionen
PLATFORM_CROSS_ORG_GOVERNANCE_VIEWEDplatform.cross_org_governance_viewedOrganisationsübergreifende Governance
ORG_GOVERNANCE_QUEUE_EXPORTEDorg_governance.queue_exportedOrganisationsübergreifende Governance
ORG_GOVERNANCE_SELF_APPROVAL_BLOCKEDorg_governance.self_approval_blockedOrganisationsübergreifende Governance
PHONE_VERIFICATION_CODE_SENTphone_verification_code_sentTelefon-/SMS-Verifizierung
PHONE_VERIFICATION_SUCCEEDEDphone_verification_succeededTelefon-/SMS-Verifizierung
PHONE_VERIFICATION_FAILEDphone_verification_failedTelefon-/SMS-Verifizierung
PHONE_VERIFICATION_EXPIREDphone_verification_expiredTelefon-/SMS-Verifizierung
PHONE_CHANGE_REQUESTEDphone_change_requestedTelefon-/SMS-Verifizierung
PHONE_CHANGE_COMMITTEDphone_change_committedTelefon-/SMS-Verifizierung
PHONE_CHANGE_ABANDONEDphone_change_abandonedTelefon-/SMS-Verifizierung
AUDIT_PHONE_DIGEST_KEY_ROTATEDaudit_phone_digest_key_rotatedTelefon-/SMS-Verifizierung
PHONE_VERIFICATION_CODE_SEND_BLOCKED_PROVIDER_UNAVAILABLEphone_verification_code_send_blocked_provider_unavailableTelefon-/SMS-Verifizierung
PHONE_VERIFICATION_BOOT_PROVIDER_GATE_PASSEDphone_verification_boot_provider_gate_passedTelefon-/SMS-Verifizierung
PHONE_VERIFICATION_CODE_SEND_BLOCKED_RATE_LIMITphone_verification_code_send_blocked_rate_limitTelefon-/SMS-Verifizierung
PHONE_CHANGE_CONCURRENT_MODIFICATIONphone_change_concurrent_modificationTelefon-/SMS-Verifizierung
PHONE_CHANGE_CANCELphone_change_cancelTelefon-/SMS-Verifizierung
USERS_PHONE_PROPAGATED_FROM_REGISTRATIONusers_phone_propagated_from_registrationTelefon-/SMS-Verifizierung
USERS_PHONE_PROPAGATION_SKIPPED_CONFLICTusers_phone_propagation_skipped_conflictTelefon-/SMS-Verifizierung

Proxy-gemeinsame SSH-Ereignisse

Von der Control-Plane als PROXY_SSH_*-Ereignistypen erneut exportiert.

KonstanteWire-StringBeschreibung
PROXY_SSH_SESSION_OPENEDproxy.ssh.session.openedSSH-Sitzung erfolgreich geöffnet — Prüfung nach Berechtigungserteilung, Upstream-Verbindung, Kanal bereit.
PROXY_SSH_SESSION_CLOSEDproxy.ssh.session.closedSSH-Sitzung geschlossen — Kanalschließung, Upstream-EOF oder Client-Trennung.
PROXY_SSH_AUTH_REJECTEDproxy.ssh.auth.rejectedSSH-Authentifizierung am Proxy abgelehnt — ungültige Berechtigung, abgelaufene Berechtigung, Replay oder nicht autorisierter Schlüssel.
PROXY_SSH_RECORDING_WRITTENproxy.ssh.recording.writtenSSH-Aufzeichnungsartefakt finalisiert und im Aufzeichnungsspeicher persistiert.

Schweregrade

WertBedeutung
DEBUGDiagnose auf niedriger Ebene; wird standardmäßig nicht an SIEM weitergeleitet.
INFODatensatz für den Normalbetrieb.
WARNBehebbarer Zustand, der möglicherweise Aufmerksamkeit erfordert.
ERRORVorgang fehlgeschlagen; kann eine Untersuchung erfordern.
CRITICALSicherheitsrelevanter Fehler; wird immer an SIEM weitergeleitet.

Akteurtypen

WertBeschreibung
UserEndbenutzer, der im eigenen Namen handelt.
TenantAdminAdministrator auf Organisationsebene.
SystemAutomatisierte Systemaktion ohne direkten Benutzerauslöser.
ServiceAccountAPI-Token oder Maschinenkonto.
PlatformAdminOrganisationsübergreifender Plattformbetreiber.
OrgAdminAuf die Organisation beschränkte Administratorrolle.
ConnectorConnector-Agent, der autonom handelt.

Zieltypen

WertBeschreibung
AccountPrivilegiertes Konto oder Anmeldeinformationsobjekt.
ConnectionVerbindungsdefinition.
SessionAktive oder abgeschlossene Sitzung.
AgentConnector- oder Proxy-Agent.
PolicyZugriffs- oder Sitzungsrichtlinie.
SecretSecret- oder Anmeldeinformations-Payload.
TenantMandanten-/Organisationsentität.
API TokenAPI-Token-Objekt.
InvitationEinladungsdatensatz.
AuditLogPrüfprotokoll-Abfrage oder -Export.
GovernanceActionGovernance-Genehmigungsanforderung.
SafeSafe-Container.