Perplexity Enterprise bietet umfassende Audit-Protokollierungsfunktionen, mit denen Unternehmen Benutzeraktivitäten und administrative Aktionen nachverfolgen können.

Audit-Protokolle erfassen End-to-End-Abfragen über Benutzereingaben, Agentenschritte und Antworten sowie alle von einem Administrator vorgenommenen Einstellungsänderungen. Jeder Protokolleintrag erfasst wichtige Informationen wie den „Ereignistyp“ (eine von einem „Benutzer“ ausgeführte Aktion), den Zeitpunkt des Ereignisses sowie die Details des Benutzers wie E‑Mail-Adresse und IP‑Adresse. Nachfolgend finden Sie ein Beispiel.

Audit-Protokolle werden in Echtzeit an einen Webhook-Endpunkt übermittelt, den Sie per HTTP-POST-Anforderung konfigurieren. So erhalten Sie eine detaillierte, chronologische Aufzeichnung aller Benutzeraktionen und Systemereignisse in Ihrer Organisation.

Audit-Protokolle sind ausschließlich für Enterprise-Organisationen mit 50 oder mehr Plätzen oder mit mindestens einem Enterprise Max Benutzer verfügbar.

Auditprotokolle aktivieren

So aktivieren Sie Audit-Protokolle für Ihre Organisation:

Navigieren Sie zu Ihren Organisationseinstellungen im Perplexity Enterprise-Portal.
Scrollen Sie nach unten zu Audit Log Settings und Enable Audit Logging.
Konfigurieren Sie Ihre Webhook-URL (muss HTTPS sein) und klicken Sie auf Speichern.
Für zusätzliche Sicherheit können Sie einen Authorization-Header festlegen, der zur Authentifizierung aller Anfragen an Ihre Webhook-URL verwendet wird. Wenn Sie kein Autorisierungsschema angeben, wird der eingegebene Wert als Bearer-Token gesendet

Webhook-Authentifizierung

Sie können Ihren Webhook-Endpunkt mit einer der folgenden Methoden sichern:

Bearer-Token

Geben Sie ein Token ohne Leerzeichen an. Das System fügt dem Header automatisch Bearer hinzu.

Beispiel: your-secret-token-123
Gesendet als: Authorization: Bearer your-secret-token-123

Benutzerdefinierter Autorisierungs-Header

Geben Sie einen vollständigen Autorisierungs-Header-Wert an (muss ein Leerzeichen enthalten).

Beispiel: Splunk xyz-token-456
Gesendet als: Authorization: Splunk xyz-token-456

Webhook-Zustellung

Anfrageformat

Audit-Protokolle werden über HTTP-POST-Anfragen an Ihre Webhook-URL übermittelt, mit:

Methode: POST
Inhaltstyp: application/json

Authentifizierungs-Header

Wenn Sie einen Authentifizierungs-Header-Token konfiguriert haben, wird dieser in der Anfrage enthalten sein:

Authorization: Bearer your-token-123

Oder für benutzerdefinierte Header:

Authorization: Splunk your-token-456

Antwortverarbeitung

Ihr Webhook-Endpunkt sollte mit HTTP-2xx-Statuscodes antworten, um einen erfolgreichen Empfang zu signalisieren.
HTTP-4xx- oder -5xx-Statuscodes werden im Perplexity-System als Fehler protokolliert.

Auditprotokoll-Schema

Alle Audit-Protokollereignisse folgen diesem Standard-Schema:

Feld	Typ	Erforderlich	Beschreibung
`uuid`	Zeichenfolge	Ja	Eindeutige Kennung für dieses Audit-Protokollereignis (automatisch generierte UUID v4)
`timestamp`	Zeichenfolge	Ja	ISO 8601-Zeitstempel im RFC3339-Format (z. B. `2024-01-15T10:30:45+00:00`)
`event_type`	Zeichenfolge	Ja	Art des aufgetretenen Ereignisses (siehe Ereignistypen)
`user_email`	Zeichenfolge	Ja	E-Mail-Adresse des Nutzers, der die Aktion ausgeführt hat
`ip_address`	Zeichenfolge	Ja	IP-Adresse des Clients, der die Aktion initiiert hat
`user_agent`	Zeichenfolge	Ja	Benutzeragent-Zeichenfolge des Client-Browsers oder der Anwendung
`session_id`	Zeichenfolge	Nein	Sitzungs-ID zur Verfolgung zugehöriger Aktionen (kann null sein)
`Metadaten`	Objekt	Nein	Ereignisspezifische Zusatzdaten (Struktur je nach Ereignistyp unterschiedlich)

Ereignistypen

Nachfolgend finden Sie eine Definition für jeden Ereignistyp, den Sie in Ihren Audit-Protokollen finden können:

Benutzeraktivitätsereignisse

Ereignistyp	Beschreibung
`login`	Benutzer erfolgreich authentifiziert und angemeldet
`query`	Benutzer hat eine Suchanfrage gesendet
`answer_generated`	Die KI-generierte Antwort wurde an den Nutzer zurückgegeben.
`file_upload`	Benutzer hat eine Datei in einen Bereich hochgeladen
`file_download`	Benutzer hat eine Datei aus einem Bereich heruntergeladen

Administrative Ereignisse

Ereignistyp	Beschreibung
`organization_settings_update`	Die Organisationseinstellungen wurden von einem Administrator geändert.
`admin_activity`	Interne Admin-Aktion ausgeführt (für Perplexity-Mitarbeiter)
`bulk_member_add_batch`	Mehrere Benutzer wurden der Organisation hinzugefügt.
`bulk_member_remove_batch`	Mehrere Benutzer wurden aus der Organisation entfernt.

Agentenereignisse

Ereignistyp	Beschreibung
`comet_agent_action`	Der Comet-Agent hat eine automatisierte Aktion ausgeführt.

Payload-Beispiele

Der folgende Eintrag wird protokolliert, wenn ein Benutzer eine Suchanfrage sendet:

{
  "uuid": "6ba7b810-9dad-11d1-80b4-00c04fd430c8",
  "timestamp": "2024-01-15T14:25:12.345678+00:00",
  "event_type": "query",
  "user_email": "[alice@company.com](<mailto:alice@company.com>)",
  "ip_address": "203.0.113.45",
  "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
  "session_id": "query_xyz789",
  "metadata": {
    "query_str": "Was sind die besten Praktiken für API-Sicherheit?"
  }
}

Plattformspezifische Formatierung

Slack-Webhooks

Wenn Ihre Webhook-URL ein Slack-Webhook ist ([https://hooks.slack.com/](<https://hooks.slack.com/>)…), werden Audit-Protokolle automatisch im Block-Kit-Format von Slack formatiert, um eine übersichtliche Darstellung zu ermöglichen:

{
  "blocks": [
    {
      "type": "section",
      "text": {
        "type": "mrkdwn",
        "text": "*Ereignistyp:* Antwort generiert"
      }
    },
    {
      "type": "section",
      "text": {
        "type": "mrkdwn",
        "text": "*Benutzer:* [alice@company.com](<mailto:alice@company.com>)\n*IP-Adresse:* 203.0.113.45\n*Benutzeragent:* Mozilla/5.0...\n*Sitzungs-ID:* query_xyz789\n*Zeitstempel:* 2024-01-15T14:25:18.987654+00:00"
      }
    },
    {
      "type": "section",
      "text": {
        "type": "mrkdwn",
        "text": "\n*Metadaten:*\n• *Antwort:* Bewährte Verfahren für API-Sicherheit umfassen...\n• *Modell:* claude-3-opus"
      }
    }
  ]
}

Hinweis: Die Slack-Formatierung umfasst:

Der Ereignistyp wird in Titelform umgewandelt und Unterstriche werden entfernt.
Metadatenwerte werden auf 500 Zeichen gekürzt, wenn sie diese Grenze überschreiten.
Der gesamte Metadatenabschnitt wird auf 2.500 Zeichen gekürzt, um die Slack-Obergrenze von 3.000 Zeichen einzuhalten.
Lange Werte zeigen einen Kürzungsvermerk mit der ursprünglichen Länge an.

Splunk HTTP-Ereignissammler (HEC)

Wenn Ihr Authentifizierungs-Header mit „Splunk“ beginnt, werden Audit-Protokolle automatisch in das von Splunk geforderte Format umgewandelt:

{
  "event": {
    "uuid": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
    "timestamp": "2024-01-15T10:30:45.123456+00:00",
    "event_type": "login",
    "user_email": "[user@company.com](<mailto:user@company.com>)",
    "ip_address": "192.168.1.100",
    "user_agent": "Mozilla/5.0...",
    "session_id": "session-abc-123",
    "metadata": {}
  }
}

Generische Webhooks

Für alle anderen Webhook-URLs wird die Standard-JSON-Nutzlast (wie im Abschnitt „Beispiel-Nutzlasten“ dargestellt) ohne zusätzliche Formatierung gesendet.

Häufige Szenarien

Verfolgung von Nutzerforschungssitzungen

So verfolgen Sie die Recherchesitzung eines Nutzers von der Anfrage bis zur Antwort:

Query Event: Der Nutzer sendet eine Anfrage
- Enthält query_str in den Metadaten.
- Enthält eine session_id, die auf die Abfrage verweist.
Answer Generated Event: KI gibt eine Antwort zurück
- Gleiche session_id wie beim Abfrageereignis
- Enthält den vollständigen answer-Text sowie das verwendete KI-model.
- Kann über session_id mit dem Abfrageereignis korreliert werden.

Dateizugriff überwachen

Um zu verfolgen, auf welche Dateien zugegriffen wird:

Datei-Upload-Ereignis: Ein Benutzer fügt eine Datei zu einem Bereich hinzu
- Enthält filename, file_uuid, space_name und space_uuid.
Datei-Download-Ereignis: Der Benutzer lädt die Datei herunter.
- Die gleiche file_uuid kann zur Korrelation mit dem Upload verwendet werden.
- Zeigt an, wer wann auf die Datei zugegriffen hat.

Änderungen an der Konfiguration prüfen

Um administrative Änderungen zu verfolgen:

Ereignis: Aktualisierung der Organisationseinstellungen

Ein Administrator ändert eine Einstellung

Enthält den key der geänderten Einstellung.
Zeigt old_value und new_value zum Vergleich an.
Kann nach user_email gefiltert werden, um zu verfolgen, welche Administratoren Änderungen vorgenommen haben.

Bewährte Verfahren

Implementierung des Webhook-Endpunkts

Schnell antworten: Ihr Endpunkt sollte innerhalb von 1 Sekunde antworten, um Zeitüberschreitungen zu vermeiden.
Asynchron verarbeiten: Audit-Protokolle zur Verarbeitung in die Warteschlange stellen und sofort antworten
Payloads validieren: Überprüfen Sie Struktur und Inhalt eingehender Payloads.
Sichern Sie Ihren Endpunkt: Verwenden Sie HTTPS und validieren Sie den Authentifizierungs-Header.
Fehler elegant behandeln: Protokollieren Sie Fehler, geben Sie jedoch keine Fehlerantworten zurück, die zu Wiederholungen führen könnten.

Datenspeicherung und -analyse

Langfristige Speicherung: Bewahren Sie Audit-Protokolle für Compliance- und Sicherheitsanalysen auf.
Schlüsselfelder indizieren: Indizieren Sie event_type, user_email, timestamp und session_id für effiziente Abfragen.
Ereignisse korrelieren: Verwenden Sie session_id, um verwandte Ereignisse (Abfragen und Antworten) zu verknüpfen.
Muster überwachen: Achten Sie auf ungewöhnliche Zugriffsmuster oder verdächtige Aktivitäten
Regelmäßig exportieren: Führen Sie Backups von Audit-Protokollen außerhalb des Webhook-Systems durch.

Sicherheitshinweise

Webhook-URLs schützen: Halten Sie Ihre Webhook-URL und Ihr Authentifizierungstoken vertraulich.
Tokens rotieren: Rotieren Sie Ihre Authentifizierungstokens regelmäßig.
Webhook-Fehler überwachen: Verfolgen Sie fehlgeschlagene Zustellungen, um Endpunktprobleme zu erkennen.
IP-Quellen validieren: Überprüfen Sie, ob Webhook-Anfragen aus den IP-Bereichen von Perplexity stammen.
Umgang mit personenbezogenen Daten: Audit-Protokolle enthalten E-Mail-Adressen und IP-Adressen von Nutzern – behandeln Sie diese gemäß Ihren Datenschutzrichtlinien.

Häufig gestellte Fragen

Kann ich diese Funktion nutzen, wenn ich weniger als 50 Plätze in meiner Organisation habe?

Wenn Ihre Organisation weniger als 50 Plätze hat, können Sie mindestens einen Platz auf Enterprise Max upgraden, um für Ihre Organisation auf Audit Logs zuzugreifen.

Ich habe die Funktion versehentlich aktiviert und mir wurden zusätzliche Plätze in Rechnung gestellt. Was kann ich tun?

Wenn Sie Audit Logs versehentlich aktiviert haben und noch nicht bereit sind, auf mehr als 50 Plätze zu aktualisieren, können wir die Abrechnung für Ihr Konto anpassen und zusätzliche Abrechnungen oder Zahlungen rückgängig machen. Bitte stellen Sie sicher, dass Sie diese Funktion deaktiviert haben, und setzen Sie sich mit uns in Verbindung.

2. Geben Sie Ihre Webhook-URL ein und klicken Sie auf Speichern.

3. Für zusätzliche Sicherheit können Sie einen Autorisierungs-Header festlegen, der zur Authentifizierung aller Anfragen an Ihre Webhook-URL verwendet wird. Wenn Sie kein Autorisierungsschema angeben, wird der eingegebene Wert als Bearer-Token gesendet.

JSON-Nutzdatenbeispiele für Audit-Protokollereignisse

/* Query */
{
  event_type: "query"
  timestamp: 2025-02-20T09:05:31
  user_email: "john@perplexity.ai"
  ip_address: "162.229.229.229"
  user_agent: "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36"
  metadata: {
    query: "What were the results of our most recent pentest report?"
  }
}

/* File Upload */
{
  event_type: "file_upload"
  timestamp: 2025-02-20T09:05:31
  user_email: "john@perplexity.ai"
  ip_address: "162.229.229.229"
  user_agent: "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36"
  metadata: {
    file_name: "soc2_report.pdf"
    file_uuid: "XXXXX"
    space_name: "Security Reports"
    space_uuid: "YYYYY"
  }
}

Häufig gestellte Fragen

Kann ich diese Funktion nutzen, wenn ich weniger als 50 Plätze in meiner Organisation habe?

Wenn Ihre Organisation weniger als 50 Plätze hat, können Sie mindestens einen Platz auf Enterprise Max aktualisieren, um auf Audit-Protokolle für Ihre Organisation zuzugreifen.

Ich habe die Funktion versehentlich aktiviert und mir wurden zusätzliche Plätze in Rechnung gestellt.

Wenn Sie Audit-Protokolle versehentlich aktiviert haben und nicht bereit sind, auf mehr als 50 Sitze zu aktualisieren, können wir die Abrechnung für Ihr Konto anpassen und zusätzliche Abrechnungen oder Zahlungen rückgängig machen. Bitte stellen Sie sicher, dass Sie diese Funktion deaktiviert haben, und setzen Sie sich mit uns in Verbindung.