n8n-flow

Orchestration de la collecte de preuves pour l'ediscovery avec n8n

Difficulty

avancé

Setup time

180min

For

legal-ops · ediscovery-lead · in-house-counsel

Legal Ops

Stack

Un flow n8n qui orchestre la phase de collecte de l’ediscovery (l’étape « Collection » de l’EDRM) — il extrait les données de la liste des dépositaires depuis le HRIS du cabinet, génère des demandes de collecte par dépositaire auprès des sources de données du cabinet (Google Workspace, Microsoft 365, Slack, partages de fichiers, SaaS personnalisé), suit la complétion de la collecte et la chaîne de traçabilité, et transmet les données collectées vers l’espace de travail Relativity (ou Everlaw / Logikcull) pour traitement. Chaque étape écrit dans un journal d’audit immuable que l’avocat utilise pour défendre l’adéquation de la collecte. Remplace la collecte manuelle par feuilles de calcul et captures d’écran de l’administrateur legal-ops par un flow déterministe.

Quand l’utiliser

Les cabinets avec un contentieux régulier — typiquement ceux avec des portefeuilles de litiges actifs où la collecte se produit plusieurs fois par an.
Le nombre de dépositaires par affaire est suffisamment élevé pour que la collecte manuelle soit opérationnellement infaisable (typiquement >5 dépositaires par affaire).
Le cabinet dispose d’une capacité technique pour câbler la couche de connecteurs (Google Workspace Vault, M365 eDiscovery, Slack Discovery API, etc.). Le flow est l’orchestration ; les connecteurs sont propres à chaque système.
L’avocat valide le périmètre de collecte par dépositaire ; le flow s’exécute contre le périmètre approuvé.

Quand NE PAS l’utiliser

Collectes à dépositaire unique — le manuel suffit ; le coût de configuration du flow (180 minutes plus le câblage des connecteurs) ne s’amortit pas.
Remplacer l’expertise en documentation de chaîne de traçabilité. Le flow génère des enregistrements d’audit ; le responsable ediscovery valide que les enregistrements respectent le standard de chaîne de traçabilité de la juridiction. Les exigences diffèrent selon les juridictions.
Définir automatiquement le périmètre de collecte. L’avocat définit le périmètre par affaire ; le flow s’exécute contre ce périmètre, il ne le rédige pas.
Premières affaires d’un cabinet sans procédure de collecte établie. Le flow encode une procédure ; s’il n’y a pas de procédure à encoder, définissez-la d’abord.

Configuration

Importez le flow. Déposez apps/web/public/artifacts/evidence-collection-ediscovery-n8n/evidence-collection-ediscovery-n8n.json dans votre instance n8n.
Configurez les credentials. Par source : Google Workspace (API Vault ; compte de service avec autorité déléguée), Microsoft 365 (API Compliance Center ; enregistrement d’application par tenant), Slack (API Discovery — disponible uniquement sur Enterprise Grid), HRIS (source des dépositaires). Plus Relativity / Everlaw / Logikcull (la plateforme d’ediscovery) et Postgres (journal d’audit).
Rédigez le modèle de périmètre de collecte par source. Par source de données, documentez : quels périmètres sont collectables (plage de dates, termes de recherche, filtres spécifiques au dépositaire), quelles sont les limites de débit par source, quel est le format de sortie attendu.
Configurez le modèle de chaîne de traçabilité. Par affaire et par dépositaire : qui a collecté (nom du compte de service + réviseur humain), quand, ce qui a été collecté, hash de la collecte à l’achèvement. Modèle dans _README.md.
Configurez l’intégration avec la plateforme d’ediscovery. API de traitement Relativity ou équivalent pour Everlaw / Logikcull. Le flow téléverse dans un espace de travail par affaire ; le pipeline de traitement (dédoublonnage, OCR, etc.) s’exécute dans la plateforme.
Test à blanc sur une affaire clôturée. Rejouez la collecte pour une affaire finalisée le trimestre dernier. Confirmez que le volume collecté correspond à ce qui a été initialement produit et que les enregistrements de chaîne de traçabilité correspondent à ce que l’avocat a certifié.

Ce que le flow fait

Huit nœuds. Orchestration par dépositaire et par source, avec chaîne de traçabilité à chaque étape.

Collection Request Trigger — webhook depuis la plateforme legal-ops quand l’avocat marque le périmètre de collecte comme approuvé.
Load Custodian + Scope — extrait la liste des dépositaires et le périmètre par dépositaire et par source depuis le plan de collecte de l’affaire.
Per-Source Dispatch — déploie une branche par source de données et par dépositaire. La partie la plus complexe du flow — chaque source possède sa propre API et ses propres contraintes de débit.
Source : Google Workspace Vault — affaire Vault créée (ou réutilisée), suspension émise, recherche exécutée sur Gmail / Drive / Calendrier du dépositaire dans le périmètre, résultats exportés.
Source : M365 Compliance — recherche de contenu exécutée sur la boîte mail / OneDrive / Teams du dépositaire dans le périmètre, résultats exportés via le Compliance Center.
Source : Slack Discovery — API Discovery d’Enterprise Grid Slack ; export par dépositaire et par canal dans le périmètre.
Hash + Chain-of-Custody Append — chaque export par source est hashé (SHA-256), et un enregistrement de chaîne de traçabilité est ajouté à la table d’audit : {matter_id, custodian_id, source, scope_summary, collected_at, collected_by_service_account, hash, file_count, byte_count}.
Upload to E-Discovery Platform — transmission des exports vers l’espace de travail Relativity par affaire ; déclenchement du job de traitement ; enregistrement de l’identifiant de chargement côté plateforme dans le journal d’audit pour la traçabilité.

Réalité des coûts

Coûts de connecteurs / plateformes sources — Google Vault, M365 E5 avec Advanced eDiscovery, Slack Enterprise Grid comportent tous des coûts par siège. Le flow ne les réduit pas ; il les utilise efficacement.
Exécutions n8n — longue durée (les grands exports prennent des heures) ; utilisez le mode queue de n8n pour la production.
Coût de traitement de la plateforme d’ediscovery — Relativity / Everlaw / Logikcull facturent tous par Go traité ; le flow ne change pas ce calcul.
Temps de l’administrateur legal-ops — le gain réel. L’orchestration manuelle d’une collecte de 10 dépositaires sur 4 sources représente des jours de travail ; le flow s’exécute en heures sans surveillance.
Temps de configuration — 180 minutes pour le flow lui-même + câblage important des connecteurs par source (les connecteurs représentent la majeure partie de la configuration réelle).

Métriques de succès

Délai de l’approbation de l’avocat à la collecte terminée — devrait passer de jours/semaines (manuel) à heures (flow), selon la durée des jobs d’export de la plateforme source.
Complétude de la chaîne de traçabilité — devrait être de 100 % par affaire. Toute lacune est un risque pour la défendabilité.
Dérive de volume — volume collecté par le flow vs périmètre attendu par l’avocat. Dans les 10 % est normal (calibration des filtres) ; >25 % déclenche un examen du périmètre.

Alternatives

vs modules de collecte natifs de la plateforme d’ediscovery (Relativity Collect, Everlaw Collections). Choisissez-les si votre équipe vit dans la plateforme et que les connecteurs de la plateforme couvrent vos sources. Le flow est adapté aux affaires avec des sources personnalisées ou couvrant plus de sources que n’importe quelle plateforme unique ne le fait nativement.
vs outils commerciaux d’orchestration de collecte (Reveal Brainspace, OpenText EnCase, Cellebrite, Onna). Choisissez-les pour les affaires les plus avancées avec des exigences de niveau forensique. Le flow est la solution intermédiaire légère pour l’ediscovery d’entreprise de routine.
vs collecte manuelle. Viable à petite échelle ; ne s’adapte pas aux affaires multi-dépositaires.

Points de vigilance

Intégrité de la chaîne de traçabilité. Protection : chaque export par source est hashé au moment de la collecte et à nouveau avant le téléversement vers la plateforme d’ediscovery. Les discordances de hash bloquent le téléversement et alertent le responsable ediscovery.
Glissement de périmètre lors de la collecte automatisée. Protection : le périmètre du flow est lu depuis le plan de collecte approuvé par l’avocat ; élargir le périmètre en cours d’exécution nécessite un amendement du plan, pas une modification du flow. Le journal d’audit capture le SHA du plan par exécution.
Épuisement des limites de débit de la plateforme source. Protection : limiteurs de débit par source dans les nœuds par source du flow. L’API Discovery de Slack a en particulier des limites de débit agressives — le flow s’adapte en conséquence.
Exposition de documents privilégiés lors de la collecte. Protection : la collecte capture tout ce qui entre dans le périmètre ; la revue de confidentialité s’effectue en aval dans la plateforme d’ediscovery (le skill de traitement par lot de revue de privilège est l’étape suivante). Le flow ne pré-filtre PAS le contenu privilégié — c’est une décision en aval.
Préoccupations relatives à la vie privée des dépositaires. Protection : le flow opère sur les systèmes que le dépositaire utilise pour son travail ; les comptes personnels (Gmail personnel, Slack personnel) sont hors périmètre, sauf si l’avocat les a explicitement nommés. Le plan de collecte documente la limite.
Localisation des données transfrontalières. Protection : les données des dépositaires résidant dans l’UE peuvent être soumises aux considérations de localisation des données RGPD ; le périmètre par dépositaire du flow signale les dépositaires résidant dans l’UE pour une revue de traitement des données avant export vers un espace de travail d’ediscovery hors UE.

Stack

Le bundle se trouve dans apps/web/public/artifacts/evidence-collection-ediscovery-n8n/ :

evidence-collection-ediscovery-n8n.json — l’export du flow (squelette — les connecteurs par source réels sont spécifiques au cabinet)
_README.md — credentials, schéma de la table d’audit, notes sur les connecteurs par source, modèle de chaîne de traçabilité

Outils : n8n, Relativity (ou Everlaw / Logikcull), Slack (notification uniquement). Connecteurs de plateformes sources : Google Workspace Vault, Microsoft 365 Compliance, Slack Discovery, SaaS personnalisé selon la stack du cabinet.

En lien avec : ediscovery, modèle EDRM, gestion des affaires, revue de privilège.

Modifier cette page sur GitHub

Files in this artifact

Download all (.zip)

# Evidence collection for ediscovery — n8n flow (skeleton)

Orchestrates the EDRM "Collection" stage: per-custodian per-source dispatch against Google Workspace Vault, M365 Compliance, Slack Discovery, and custom SaaS sources. Hashes every export, writes chain-of-custody to an immutable audit table, uploads to the e-discovery platform.

**This is a skeleton flow.** The bundled n8n JSON shows the structure (request → load plan → dispatch per source → audit) and includes a working Google Vault saved-query node as an exemplar. Production deployment requires the firm's ediscovery engineer to:

1. Complete the per-source nodes (Google Vault has create-query → start-export → poll-export → fetch-blob; bundled flow shows only create-query).
2. Wire the M365 Compliance and Slack Discovery branches (skeleton has placeholders).
3. Replace the placeholder hash in `Hash + Chain-of-Custody` with actual export-bytes hashing.
4. Add the upload-to-Relativity / Everlaw / Logikcull node at the end.
5. Add per-source rate limiters.

The flow's value is in the structure (audit shape, dispatch pattern, chain-of-custody discipline) — the per-source connector code is firm-specific.

## Database tables

```sql
-- Counsel-approved collection plan. One row per (custodian, source) pair.
CREATE TABLE collection_plans (
    collection_plan_id   TEXT NOT NULL,
    plan_sha             TEXT NOT NULL,
    matter_id            TEXT NOT NULL,
    custodian_id         TEXT NOT NULL,
    source               TEXT NOT NULL,
    scope_json           JSONB NOT NULL,
    status               TEXT NOT NULL CHECK (status IN ('draft','approved','executed','superseded')),
    approved_by          TEXT,
    approved_at          TIMESTAMPTZ,
    PRIMARY KEY (collection_plan_id, custodian_id, source)
);

-- Chain-of-custody, append-only.
CREATE TABLE collection_audit (
    audit_id                          BIGSERIAL PRIMARY KEY,
    matter_id                         TEXT NOT NULL,
    collection_id                     TEXT NOT NULL,
    custodian_id                      TEXT NOT NULL,
    source                            TEXT NOT NULL,
    plan_sha                          TEXT NOT NULL,
    collected_at                      TIMESTAMPTZ NOT NULL,
    collected_by_service_account      TEXT NOT NULL,
    hash                              TEXT NOT NULL,
    file_count                        INTEGER NOT NULL,
    byte_count                        BIGINT NOT NULL,
    scope_summary                     TEXT,
    upload_load_id                    TEXT,  -- e-discovery platform load ID, written when upload completes
    upload_completed_at               TIMESTAMPTZ
);

CREATE INDEX collection_audit_matter_idx ON collection_audit (matter_id, collected_at);

-- Immutability:
REVOKE UPDATE, DELETE, TRUNCATE ON collection_audit FROM PUBLIC;
GRANT INSERT, SELECT ON collection_audit TO <ediscovery_app_role>;
-- upload_load_id and upload_completed_at can be UPDATEd via a function that
-- enforces "only when previously NULL" — implement as a stored procedure
-- if you need to record platform-side load IDs after collection.
```

## Per-source connector notes

### Google Workspace Vault

API doc: https://developers.google.com/vault/

- Service account with delegated authority to access user data.
- Create-query → start-export → poll-export-status → fetch-blob sequence. Exports are async; polling can take minutes to hours.
- Vault matter must exist; the flow can create-or-reuse.
- Hold should be in place at the matter level before query (separate workflow — see [litigation hold orchestration](../litigation-hold-orchestration-n8n/)).
- Rate limits: per-project quotas. Vault tends to be export-job-bound rather than rate-limit-bound.

### Microsoft 365 Compliance

API doc: https://learn.microsoft.com/en-us/microsoft-365/compliance/

- Per-tenant app registration with Compliance Center scopes (eDiscovery.Manage etc.).
- Content search → run-search → start-export → download-export sequence.
- Advanced eDiscovery (eDiscovery Premium) is an E5 add-on — confirm tenant licensing.
- Rate limits: per-tenant; varies by SKU.

### Slack Discovery

API doc: https://api.slack.com/enterprise/discovery (Enterprise Grid only)

- Discovery API only available on Slack Enterprise Grid.
- Per-channel and per-user export endpoints. The Discovery API is rate-limited aggressively (single-digit req/sec for most endpoints).
- Output is JSON-line message records; preserve files via separate file-export endpoint.
- Pagination is cursor-based; loop until empty.

### Custom SaaS

For internal tools or smaller SaaS that the team uses:

- Document the source's export shape and chain-of-custody implications.
- Build a connector node that writes to the same per-source pattern as the bundled examples.
- Hash the export at fetch time, append to audit table.

## Chain-of-custody record format

Each `collection_audit` row is the chain-of-custody record. Counsel demonstrates collection adequacy via these records:

```
Matter: M-2026-0042
Collection: coll-20260503-abc123
Custodian: jane-doe@firm.com
Source: google-vault
Collected at: 2026-05-03T14:00:00Z
Service account: ediscovery-bot@firm
Hash (SHA-256): a3f2b1c4...
File count: 1,247
Byte count: 4,231,789,022
Scope: { "email": "jane-doe@firm.com", "start_time": "2024-01-01", "end_time": "2026-04-30", "terms": "(\"Acme deal\" OR \"Project X\") AND -from:counsel@firm" }
Upload to e-discovery: load-2026-05-03-abc123 (Relativity workspace 'M-2026-0042')
```

For court submissions, the chain-of-custody records typically need to be produced in a more formal format — a paralegal exports the audit records and formats per jurisdictional requirements. The flow's records are the source data.

## Credentials

- `PLACEHOLDER_PLAN_DB_CRED_ID` — read access to `collection_plans`.
- `PLACEHOLDER_AUDIT_DB_CRED_ID` — write access to `collection_audit`.
- `PLACEHOLDER_GOOGLE_VAULT_CRED_ID` — service account with delegated authority.
- `PLACEHOLDER_M365_CRED_ID` — per-tenant app registration with Compliance Center scopes.
- `PLACEHOLDER_SLACK_DISCOVERY_CRED_ID` — Slack org-admin token with `discovery:read` scope.
- `PLACEHOLDER_RELATIVITY_CRED_ID` — Relativity REST API credentials (or Everlaw / Logikcull equivalent).

## Dry-run procedure

1. Provision tables on a non-production DB.
2. Wire credentials to staging endpoints (test Google project, test M365 tenant, test Slack workspace).
3. Replay a closed matter's collection plan against staging sources (with anonymized custodian data).
4. Verify chain-of-custody records and platform-side load IDs.
5. Switch to production credentials only after a full successful dry-run.

## Known limits / production-readiness gaps

This is a skeleton. Before production:

1. Per-source export polling — Google Vault and M365 Compliance exports are async; the flow needs a poll-and-resume pattern (not bundled).
2. Per-source export-blob fetching — once the export is ready, the flow needs to download the blob and hash it (skeleton uses placeholder hash).
3. M365 Compliance branch — entirely skeleton; needs Content Search + Search Result Export wiring.
4. Slack Discovery branch — entirely skeleton; needs cursor-based per-channel paging.
5. E-discovery platform upload — not bundled; per-platform Relativity / Everlaw / Logikcull connector required.
6. Per-source rate limiting — the per-source nodes need rate limiters in production.
7. Error recovery — failed-export retry / replay logic not bundled.

This skeleton's value is in the orchestration shape and the audit / chain-of-custody discipline; the connector layer is the firm's ediscovery engineering work.

{
  "name": "Evidence collection ediscovery (skeleton)",
  "nodes": [
    {
      "parameters": {
        "httpMethod": "POST",
        "path": "collection-request",
        "responseMode": "lastNode",
        "options": { "rawBody": false }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000001",
      "name": "Collection Request",
      "type": "n8n-nodes-base.webhook",
      "typeVersion": 2,
      "position": [240, 400],
      "webhookId": "collection-request",
      "notesInFlow": true,
      "notes": "Webhook from legal-ops platform: {matter_id, collection_plan_id}. The collection plan is the counsel-approved scope; this flow executes against it, doesn't author it."
    },
    {
      "parameters": {
        "operation": "executeQuery",
        "query": "WITH plan AS (\n  SELECT collection_plan_id, plan_sha, custodian_id, source, scope_json\n  FROM collection_plans\n  WHERE collection_plan_id = $1 AND status = 'approved'\n)\nSELECT * FROM plan;",
        "options": { "queryReplacement": "={{ $json.collection_plan_id }}" }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000002",
      "name": "Load Collection Plan",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [460, 400],
      "credentials": {
        "postgres": { "id": "PLACEHOLDER_PLAN_DB_CRED_ID", "name": "Postgres — collection plans" }
      }
    },
    {
      "parameters": {
        "jsCode": "// For each (custodian, source) pair, prepare a per-source dispatch payload.\n// The flow's per-source nodes receive these payloads.\nconst rows = $input.all().map(r => r.json);\nconst trigger = $('Collection Request').item.json;\n\nif (rows.length === 0) {\n  return [{ json: { status: 'halted', reason: 'no_approved_plan_rows', collection_plan_id: trigger.collection_plan_id } }];\n}\n\nconst out = rows.map(row => ({\n  json: {\n    matter_id: trigger.matter_id,\n    collection_plan_id: trigger.collection_plan_id,\n    plan_sha: row.plan_sha,\n    custodian_id: row.custodian_id,\n    source: row.source,\n    scope: typeof row.scope_json === 'string' ? JSON.parse(row.scope_json) : row.scope_json,\n    requested_at: new Date().toISOString(),\n    collection_id: `coll-${Date.now()}-${Math.random().toString(36).slice(2, 8)}`,\n  }\n}));\n\nreturn out;"
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000003",
      "name": "Per-Source Dispatch",
      "type": "n8n-nodes-base.code",
      "typeVersion": 2,
      "position": [680, 400],
      "notesInFlow": true,
      "notes": "Fans out one item per (custodian, source) pair. The downstream switch routes by source."
    },
    {
      "parameters": {
        "rules": {
          "values": [
            {
              "conditions": {
                "options": { "caseSensitive": true },
                "conditions": [
                  { "leftValue": "={{ $json.source }}", "rightValue": "google-vault", "operator": { "type": "string", "operation": "equals" } }
                ],
                "combinator": "and"
              },
              "outputKey": "google"
            },
            {
              "conditions": {
                "options": { "caseSensitive": true },
                "conditions": [
                  { "leftValue": "={{ $json.source }}", "rightValue": "m365-compliance", "operator": { "type": "string", "operation": "equals" } }
                ],
                "combinator": "and"
              },
              "outputKey": "m365"
            },
            {
              "conditions": {
                "options": { "caseSensitive": true },
                "conditions": [
                  { "leftValue": "={{ $json.source }}", "rightValue": "slack-discovery", "operator": { "type": "string", "operation": "equals" } }
                ],
                "combinator": "and"
              },
              "outputKey": "slack"
            }
          ]
        },
        "options": { "fallbackOutput": "extra" }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000004",
      "name": "Source Switch",
      "type": "n8n-nodes-base.switch",
      "typeVersion": 3,
      "position": [900, 400]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "https://vault.googleapis.com/v1/matters/{{ $env.GOOGLE_VAULT_MATTER_ID }}/savedQueries",
        "authentication": "predefinedCredentialType",
        "nodeCredentialType": "googleApi",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "Content-Type", "value": "application/json" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"displayName\": \"{{ $json.collection_id }}\",\n  \"query\": {\n    \"corpus\": \"MAIL\",\n    \"dataScope\": \"ALL_DATA\",\n    \"searchMethod\": \"ACCOUNT\",\n    \"accountInfo\": { \"emails\": [\"{{ $json.scope.email }}\"] },\n    \"mailOptions\": { \"excludeDrafts\": false },\n    \"startTime\": \"{{ $json.scope.start_time }}\",\n    \"endTime\": \"{{ $json.scope.end_time }}\",\n    \"terms\": \"{{ $json.scope.terms }}\"\n  }\n}",
        "options": {
          "response": { "response": { "responseFormat": "json", "neverError": false } },
          "timeout": 60000
        }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000005",
      "name": "Google Vault: Saved Query",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [1120, 280],
      "credentials": {
        "googleApi": { "id": "PLACEHOLDER_GOOGLE_VAULT_CRED_ID", "name": "Google Vault service account" }
      },
      "notesInFlow": true,
      "notes": "Creates a saved query in the matter; an export job is the next step (separate API call). Real production flow needs the full create-query → poll-export sequence; skeleton shown."
    },
    {
      "parameters": {
        "jsCode": "// Compute SHA-256 of the export, append chain-of-custody record.\n// Skeleton — production flow includes the actual export-fetch step.\nconst crypto = require('crypto');\nconst input = $input.first().json;\nconst dispatch = $('Per-Source Dispatch').item.json;\n\n// In production: fetch the actual export bytes here, hash them.\n// Skeleton uses a deterministic placeholder so the audit record shape is correct.\nconst placeholderHash = crypto.createHash('sha256').update(`${dispatch.collection_id}-${dispatch.source}`).digest('hex');\n\nreturn [{\n  json: {\n    matter_id: dispatch.matter_id,\n    collection_id: dispatch.collection_id,\n    custodian_id: dispatch.custodian_id,\n    source: dispatch.source,\n    plan_sha: dispatch.plan_sha,\n    collected_at: new Date().toISOString(),\n    collected_by_service_account: $env.COLLECTION_SERVICE_ACCOUNT || 'ediscovery-bot@firm',\n    hash: placeholderHash,\n    file_count: input.fileCount || 0,\n    byte_count: input.byteCount || 0,\n    scope_summary: JSON.stringify(dispatch.scope).slice(0, 500),\n    skeleton_warning: 'This skeleton flow does not fetch and hash actual export bytes. Production: replace with fetch + bytewise hash.',\n  }\n}];"
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000006",
      "name": "Hash + Chain-of-Custody",
      "type": "n8n-nodes-base.code",
      "typeVersion": 2,
      "position": [1340, 400]
    },
    {
      "parameters": {
        "operation": "insert",
        "schema": "public",
        "table": "collection_audit",
        "columns": "matter_id, collection_id, custodian_id, source, plan_sha, collected_at, collected_by_service_account, hash, file_count, byte_count, scope_summary",
        "additionalFields": {}
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000007",
      "name": "Audit: Collection Complete",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [1560, 400],
      "credentials": {
        "postgres": {
          "id": "PLACEHOLDER_AUDIT_DB_CRED_ID",
          "name": "Postgres — chain-of-custody (append-only)"
        }
      }
    }
  ],
  "connections": {
    "Collection Request": { "main": [[{ "node": "Load Collection Plan", "type": "main", "index": 0 }]] },
    "Load Collection Plan": { "main": [[{ "node": "Per-Source Dispatch", "type": "main", "index": 0 }]] },
    "Per-Source Dispatch": { "main": [[{ "node": "Source Switch", "type": "main", "index": 0 }]] },
    "Source Switch": {
      "main": [
        [{ "node": "Google Vault: Saved Query", "type": "main", "index": 0 }],
        [],
        []
      ]
    },
    "Google Vault: Saved Query": { "main": [[{ "node": "Hash + Chain-of-Custody", "type": "main", "index": 0 }]] },
    "Hash + Chain-of-Custody": { "main": [[{ "node": "Audit: Collection Complete", "type": "main", "index": 0 }]] }
  },
  "settings": {
    "executionOrder": "v1",
    "timezone": "America/New_York",
    "saveExecutionProgress": true,
    "saveManualExecutions": true
  },
  "active": false,
  "versionId": "1"
}