Datenmodell

Audit-Event

Append-only Protokoll für DSGVO + Streit-Beweisführung. Wer hat was und wann geändert. Eine Zeile pro Mutation / Login-Versuch / E-Mail-Versand.

Modellname: audit_event

Endpunkte: 2

Max. Seitengröße: 200

Felder

Validierungsregeln pro Feld. Werte, die diese Bedingungen verletzen, werden mit 400 abgewiesen, bevor sie die Datenbank erreichen.

Feld	Typ	Regeln
ip	`string`	max. Länge`64`
action	`string`	max. Länge`64`
details	`dict`	-
actor_id		max. Länge`64`
category	`enum`	enum`mutation \| auth \| email \| ai \| system`
entity_id	`string`	max. Länge`64`
user_agent	`string`	max. Länge`500`
actor_label	`string`	max. Länge`200`
entity_type	`string`	max. Länge`64`
occurred_at	`string`	max. Länge`32`
entity_label	`string`	max. Länge`200`

Mutabilität

Welche Felder darfst du senden, und wann? Felder ohne Markierung werden vom Server vergeben - das Senden ist kein Fehler, sie werden stillschweigend ignoriert.

Anlegbar - im POST-Body lesbar.Änderbar - im PATCH-Body lesbar.Server-verwaltet - vom Body ignoriert.

Feld	Typ	Anlegbar	Änderbar
ip	string
action	string
details	dict
actor_id	string
category	enum
entity_id	string
user_agent	string
actor_label	string
entity_type	string
occurred_at	string
entity_label	string

Felder mit Anlegbar, aber ohne Änderbar, sind nach dem Erstellen unveränderlich. Server-verwaltete Felder umfassen id, Zeitstempel, Eigentümerschaft und Status.

Filter & Sortierung

Auf Listen-Endpunkten kombinierbar. Wiederholte Filter-Keys werden zu IN-Bedingungen, ein - vor einem Sort-Key kehrt die Richtung um. Beispiel: ?status=open&status=blocked&sort=-created_at.

Filter-Keys

categorydata__category

actor_iddata__actor_id

entity_typedata__entity_type

entity_iddata__entity_id

actiondata__action

created_atcreated_at

owned_by

created_bycreated_by

Sortier-Keys

created_atcreated_at

occurred_atdata__occurred_at

categorydata__category

Standard: created_at

Endpunkte

Jeder Endpunkt unten zeigt seine HTTP-Methode, den Pfad und den dafür benötigten PAT-Scope. Code-Beispiele decken curl, JavaScript, TypeScript, Python, Rust, Java und WebSocket ab.

GET/xapi2/data/audit_eventaudit_event:list

Objekte auflisten

Liefert eine paginierte Liste sichtbarer Objekte. Standard-Seitengröße 20; mit ?limit= änderbar (typabhängig begrenzt). ?after=<id> für Keyset-Paginierung bei nach created_at sortierten Listen, ?offset= für Offset-Paginierung.

curl -H "Authorization: Bearer pat_…" \
     "https://ki-bewerber-management.de/xapi2/data/audit_event?limit=20"

GET/xapi2/data/audit_event/{id}audit_event:read

Einzelnes Objekt lesen

Liefert das Objekt anhand der ID. 404, falls es nicht existiert oder du keinen Lese-Zugriff hast (beide Fälle sind bewusst zusammengelegt).

curl -H "Authorization: Bearer pat_…" \
     https://ki-bewerber-management.de/xapi2/data/audit_event/OBJECT_ID

In der CLI

Dieselben Endpunkte sind auch über die KI BMS CLI verfügbar. Für Skripte, CI und Bulk-Imports ist sie meist die schnellere Wahl.

atscli audit_event list --limit 5
atscli audit_event get <id>
atscli audit_event schema   # Felder & Limits

Volle Befehlsreferenz, Profile, CSV-Import, Auto-Retry, NDJSON-Streaming → /docs/cli