Security events — аутентификация (успех/неудача), авторизация (denied), изменение прав, доступ к sensitive данным. Логируй: кто (user id/IP), что (действие), когда (timestamp), результат (success/denied), контекст (request id, resource). Структурированные логи (JSON) обязательны — потом парсить в SIEM. В Go: slog с полями slog.String("user_id", uid), slog.String("action", "login_failed"). Не логируй пароли, токены, персональные данные. Отправляй в отдельный audit log (append-only, immutable). Мониторь аномалии: много failed logins = brute force.