Enregistrement chronologique, immuable et sécurisé de toutes les actions effectuées sur un système — qui a accédé à quoi, quand, depuis où, et avec quel résultat. En data, l'audit trail couvre : les requêtes SQL exécutées (query history Snowflake, BigQuery), les accès aux données sensibles (PII, données financières), les modifications de schéma et de politiques d'accès, les exports et téléchargements de données, et les opérations d'administration. Requis par de nombreuses réglementations (RGPD, SOX, HIPAA, PCI-DSS) et indispensable pour les investigations de sécurité. L'audit trail doit être lui-même protégé contre la modification (write-once, immutable storage). Les SIEM (Splunk, Elastic SIEM) agrègent les logs d'audit de multiples systèmes pour une vue unifiée. La rétention des logs d'audit est typiquement de 1 à 7 ans selon la réglementation.