n8n-flow

Orquestación de recolección de evidencia para ediscovery con n8n

Dificultad

avanzado

Tiempo de setup

180min

Para

legal-ops · ediscovery-lead · in-house-counsel

Legal Ops

Stack

Un flow de n8n que orquesta la fase de recolección de ediscovery (la etapa “Collection” del EDRM) — extrae datos de la lista de custodios desde el HRIS de la firma, genera solicitudes de recolección por custodio contra las fuentes de datos de la firma (Google Workspace, Microsoft 365, Slack, file shares, SaaS custom), rastrea la finalización de la recolección y la cadena de custodia, despacha los datos recolectados al workspace de Relativity (o Everlaw / Logikcull) para procesamiento. Cada paso escribe a un log de auditoría inmutable que el counsel usa para defender la suficiencia de la recolección. Reemplaza la recolección manual con spreadsheet-y-screenshot del admin de legal-ops por un flow determinístico.

Cuándo usarlo

Firmas con ediscovery regular — típicamente las que tienen portfolios de litigio activos donde la recolección ocurre varias veces al año.
El conteo de custodios por matter es lo suficientemente grande como para que la recolección manual sea operacionalmente inviable (típicamente >5 custodios por matter).
La firma tiene capacidad de IT-engineering para conectar la capa de connectors (Google Workspace Vault, M365 eDiscovery, Slack Discovery API, etc.). El flow es la orquestación; los connectors son por sistema.
El counsel aprueba el alcance de recolección por custodio; el flow ejecuta contra el alcance aprobado.

Cuándo NO usarlo

Recolecciones de un solo custodio — manual está bien; el costo de setup del flow (180 minutos más wiring de connectors) no se recupera.
Reemplazar la expertise en documentación de cadena de custodia. El flow genera registros de auditoría; el ediscovery lead valida que los registros cumplan el estándar de cadena de custodia de la jurisdicción. Distintas jurisdicciones tienen distintos requisitos.
Auto-definir el alcance de recolección. El counsel define el alcance según el matter; el flow ejecuta contra el alcance, no lo redacta.
Matters primerizos de la firma sin un baseline de procedimiento de recolección establecido. El flow codifica un procedimiento; si no hay procedimiento que codificar, defínelo primero.

Setup

Importa el flow. Suelta apps/web/public/artifacts/evidence-collection-ediscovery-n8n/evidence-collection-ediscovery-n8n.json en tu instancia de n8n.
Conecta credenciales. Por fuente: Google Workspace (Vault API; cuenta de servicio con autoridad delegada), Microsoft 365 (Compliance Center API; registro de app por tenant), Slack (Discovery API — solo disponible en Enterprise Grid), HRIS (fuente de custodios). Más Relativity / Everlaw / Logikcull (la plataforma de e-discovery) y Postgres (log de auditoría).
Redacta la plantilla de alcance de recolección por fuente. Por fuente de datos, documenta: qué alcances son recolectables (rango de fechas, términos de búsqueda, filtros específicos por custodio), cuáles son los rate limits por fuente, cuál es el formato de output esperado.
Configura la plantilla de cadena de custodia. Por matter y por custodio: quién recolectó (nombre de la cuenta de servicio + reviewer humano), cuándo, qué se recolectó, hash de la recolección al completarse. Plantilla en _README.md.
Configura la integración con la plataforma de e-discovery. Relativity Processing API o equivalente para Everlaw / Logikcull. El flow sube a un workspace por matter; la pipeline de procesamiento (deduplicación, OCR, etc.) corre en la plataforma.
Haz un dry-run con un matter cerrado. Reproduce la recolección de un matter completado el trimestre pasado. Confirma que el volumen recolectado coincida con lo que se produjo originalmente y que los registros de cadena de custodia coincidan con lo que el counsel certificó.

Qué hace el flow

Ocho nodos. Orquestación por-custodio-por-fuente, con cadena de custodia en cada paso.

Collection Request Trigger — webhook desde la plataforma de legal-ops cuando el counsel marca el alcance de recolección como aprobado.
Load Custodian + Scope — extrae la lista de custodios + el alcance por-custodio-por-fuente desde el plan de recolección del matter.
Per-Source Dispatch — abre una rama por fuente de datos por custodio. La parte más compleja del flow — cada fuente tiene su propia API y sus propias restricciones de rate-limit.
Source: Google Workspace Vault — Vault matter creado (o reusado), hold emitido, búsqueda ejecutada contra Gmail / Drive / Calendar del custodio dentro del alcance, resultados exportados.
Source: M365 Compliance — Content search ejecutada contra mailbox / OneDrive / Teams del custodio dentro del alcance, resultados exportados vía el Compliance Center.
Source: Slack Discovery — Slack Enterprise Grid Discovery API; export por-custodio-por-canal dentro del alcance.
Hash + Chain-of-Custody Append — cada export por fuente se hashea (SHA-256), y se anexa un registro de cadena de custodia a la tabla de auditoría: {matter_id, custodian_id, source, scope_summary, collected_at, collected_by_service_account, hash, file_count, byte_count}.
Upload to E-Discovery Platform — empuja los exports al workspace de Relativity por matter; dispara el job de procesamiento; registra el load ID del lado de la plataforma en el log de auditoría para trazabilidad.

Realidad de costos

Costos de connector / plataforma fuente — Google Vault, M365 E5 con Advanced eDiscovery, Slack Enterprise Grid todos cargan costos por seat. El flow no los reduce; los hace usar de forma efectiva.
Ejecuciones de n8n — long-running (los exports grandes toman horas); usa el modo de cola de n8n para producción.
Costo de procesamiento de la plataforma de e-discovery — Relativity / Everlaw / Logikcull todos cobran por GB-procesado; el flow no cambia esa matemática.
Tiempo del admin de legal-ops — el gane. La orquestación manual de una recolección de 10 custodios en 4 fuentes son días de trabajo; el flow corre en horas sin supervisión.
Tiempo de setup — 180 minutos para el flow en sí + wiring significativo de connectors por fuente (los connectors son la mayor parte del setup real).

Métrica de éxito

Tiempo desde la aprobación del counsel hasta la recolección completa — debería caer de días/semanas (manual) a horas (flow), módulo la duración del job de export en la plataforma fuente.
Completitud de la cadena de custodia — debería ser 100% por matter. Cualquier brecha es un riesgo de defensibilidad.
Drift de volumen — volumen recolectado por el flow vs alcance esperado por el counsel. Dentro del 10% es normal (calibración de filtros); >25% dispara una revisión de re-scope.

vs alternativas

vs los módulos nativos de recolección de la plataforma de e-discovery (Relativity Collect, Everlaw Collections). Elígelos si tu equipo vive en la plataforma y los connectors de la plataforma cubren tus fuentes. El flow es para matters de fuentes custom o matters que abarcan más fuentes que las que cubre nativamente cualquier plataforma única.
vs herramientas comerciales de orquestación de recolección (Reveal Brainspace, OpenText EnCase, Cellebrite, Onna). Elígelas para los matters de gama más alta con requisitos de grado forense. El flow es el punto medio liviano para ediscovery corporativo de rutina.
vs recolección manual. Funcional a pequeña escala; no escala a matters multi-custodio.

Watch-outs

Integridad de la cadena de custodia. Guard: cada export por fuente se hashea al momento de la recolección y otra vez antes de subir a la plataforma de e-discovery. Los mismatches de hash detienen el upload y alertan al ediscovery lead.
Scope creep en recolección automatizada. Guard: el alcance del flow se lee desde el plan de recolección aprobado por el counsel; ampliar el alcance a mitad de corrida requiere enmienda del plan, no un tweak al flow. El log de auditoría captura el SHA del plan por corrida.
Agotamiento de rate-limits de la plataforma fuente. Guard: rate limiters por fuente en los nodos por fuente del flow. La Slack Discovery API en particular tiene rate limits agresivos — el flow marca el ritmo en consecuencia.
Exposición de privilegio durante la recolección. Guard: la recolección captura todo lo que está en alcance; la revisión de privilegio ocurre downstream en la plataforma de e-discovery (la privilege review batch skill es la siguiente etapa). El flow NO pre-filtra contenido privilegiado — esa es una decisión downstream.
Preocupaciones de privacidad del custodio. Guard: el flow opera contra los sistemas que el custodio usa para trabajo; las cuentas personales (Gmail personal, Slack personal) están fuera de alcance a menos que el counsel las nombre explícitamente. El plan de recolección documenta la frontera.
Localización de datos entre jurisdicciones. Guard: los datos de custodios residentes en la UE pueden estar sujetos a consideraciones de localización de datos del GDPR; el alcance por custodio del flow marca a los custodios residentes en la UE para revisión de manejo de datos antes de exportar a un workspace de e-discovery fuera de la UE.

Stack

El bundle vive en apps/web/public/artifacts/evidence-collection-ediscovery-n8n/:

evidence-collection-ediscovery-n8n.json — el export del flow (skeleton — los connectors reales por fuente son específicos de la firma)
_README.md — credenciales, schema de la tabla de auditoría, notas de connectors por fuente, plantilla de cadena de custodia

Tools: n8n, Relativity (o Everlaw / Logikcull), Slack (solo notificación). Connectors de plataforma fuente: Google Workspace Vault, Microsoft 365 Compliance, Slack Discovery, SaaS custom según el stack de la firma.

Relacionado: ediscovery, EDRM model, matter management, privilege review.

Editar esta página en GitHub

Archivos de este artefacto

Descargar todo (.zip)

# Evidence collection for ediscovery — n8n flow (skeleton)

Orchestrates the EDRM "Collection" stage: per-custodian per-source dispatch against Google Workspace Vault, M365 Compliance, Slack Discovery, and custom SaaS sources. Hashes every export, writes chain-of-custody to an immutable audit table, uploads to the e-discovery platform.

**This is a skeleton flow.** The bundled n8n JSON shows the structure (request → load plan → dispatch per source → audit) and includes a working Google Vault saved-query node as an exemplar. Production deployment requires the firm's ediscovery engineer to:

1. Complete the per-source nodes (Google Vault has create-query → start-export → poll-export → fetch-blob; bundled flow shows only create-query).
2. Wire the M365 Compliance and Slack Discovery branches (skeleton has placeholders).
3. Replace the placeholder hash in `Hash + Chain-of-Custody` with actual export-bytes hashing.
4. Add the upload-to-Relativity / Everlaw / Logikcull node at the end.
5. Add per-source rate limiters.

The flow's value is in the structure (audit shape, dispatch pattern, chain-of-custody discipline) — the per-source connector code is firm-specific.

## Database tables

```sql
-- Counsel-approved collection plan. One row per (custodian, source) pair.
CREATE TABLE collection_plans (
    collection_plan_id   TEXT NOT NULL,
    plan_sha             TEXT NOT NULL,
    matter_id            TEXT NOT NULL,
    custodian_id         TEXT NOT NULL,
    source               TEXT NOT NULL,
    scope_json           JSONB NOT NULL,
    status               TEXT NOT NULL CHECK (status IN ('draft','approved','executed','superseded')),
    approved_by          TEXT,
    approved_at          TIMESTAMPTZ,
    PRIMARY KEY (collection_plan_id, custodian_id, source)
);

-- Chain-of-custody, append-only.
CREATE TABLE collection_audit (
    audit_id                          BIGSERIAL PRIMARY KEY,
    matter_id                         TEXT NOT NULL,
    collection_id                     TEXT NOT NULL,
    custodian_id                      TEXT NOT NULL,
    source                            TEXT NOT NULL,
    plan_sha                          TEXT NOT NULL,
    collected_at                      TIMESTAMPTZ NOT NULL,
    collected_by_service_account      TEXT NOT NULL,
    hash                              TEXT NOT NULL,
    file_count                        INTEGER NOT NULL,
    byte_count                        BIGINT NOT NULL,
    scope_summary                     TEXT,
    upload_load_id                    TEXT,  -- e-discovery platform load ID, written when upload completes
    upload_completed_at               TIMESTAMPTZ
);

CREATE INDEX collection_audit_matter_idx ON collection_audit (matter_id, collected_at);

-- Immutability:
REVOKE UPDATE, DELETE, TRUNCATE ON collection_audit FROM PUBLIC;
GRANT INSERT, SELECT ON collection_audit TO <ediscovery_app_role>;
-- upload_load_id and upload_completed_at can be UPDATEd via a function that
-- enforces "only when previously NULL" — implement as a stored procedure
-- if you need to record platform-side load IDs after collection.
```

## Per-source connector notes

### Google Workspace Vault

API doc: https://developers.google.com/vault/

- Service account with delegated authority to access user data.
- Create-query → start-export → poll-export-status → fetch-blob sequence. Exports are async; polling can take minutes to hours.
- Vault matter must exist; the flow can create-or-reuse.
- Hold should be in place at the matter level before query (separate workflow — see [litigation hold orchestration](../litigation-hold-orchestration-n8n/)).
- Rate limits: per-project quotas. Vault tends to be export-job-bound rather than rate-limit-bound.

### Microsoft 365 Compliance

API doc: https://learn.microsoft.com/en-us/microsoft-365/compliance/

- Per-tenant app registration with Compliance Center scopes (eDiscovery.Manage etc.).
- Content search → run-search → start-export → download-export sequence.
- Advanced eDiscovery (eDiscovery Premium) is an E5 add-on — confirm tenant licensing.
- Rate limits: per-tenant; varies by SKU.

### Slack Discovery

API doc: https://api.slack.com/enterprise/discovery (Enterprise Grid only)

- Discovery API only available on Slack Enterprise Grid.
- Per-channel and per-user export endpoints. The Discovery API is rate-limited aggressively (single-digit req/sec for most endpoints).
- Output is JSON-line message records; preserve files via separate file-export endpoint.
- Pagination is cursor-based; loop until empty.

### Custom SaaS

For internal tools or smaller SaaS that the team uses:

- Document the source's export shape and chain-of-custody implications.
- Build a connector node that writes to the same per-source pattern as the bundled examples.
- Hash the export at fetch time, append to audit table.

## Chain-of-custody record format

Each `collection_audit` row is the chain-of-custody record. Counsel demonstrates collection adequacy via these records:

```
Matter: M-2026-0042
Collection: coll-20260503-abc123
Custodian: jane-doe@firm.com
Source: google-vault
Collected at: 2026-05-03T14:00:00Z
Service account: ediscovery-bot@firm
Hash (SHA-256): a3f2b1c4...
File count: 1,247
Byte count: 4,231,789,022
Scope: { "email": "jane-doe@firm.com", "start_time": "2024-01-01", "end_time": "2026-04-30", "terms": "(\"Acme deal\" OR \"Project X\") AND -from:counsel@firm" }
Upload to e-discovery: load-2026-05-03-abc123 (Relativity workspace 'M-2026-0042')
```

For court submissions, the chain-of-custody records typically need to be produced in a more formal format — a paralegal exports the audit records and formats per jurisdictional requirements. The flow's records are the source data.

## Credentials

- `PLACEHOLDER_PLAN_DB_CRED_ID` — read access to `collection_plans`.
- `PLACEHOLDER_AUDIT_DB_CRED_ID` — write access to `collection_audit`.
- `PLACEHOLDER_GOOGLE_VAULT_CRED_ID` — service account with delegated authority.
- `PLACEHOLDER_M365_CRED_ID` — per-tenant app registration with Compliance Center scopes.
- `PLACEHOLDER_SLACK_DISCOVERY_CRED_ID` — Slack org-admin token with `discovery:read` scope.
- `PLACEHOLDER_RELATIVITY_CRED_ID` — Relativity REST API credentials (or Everlaw / Logikcull equivalent).

## Dry-run procedure

1. Provision tables on a non-production DB.
2. Wire credentials to staging endpoints (test Google project, test M365 tenant, test Slack workspace).
3. Replay a closed matter's collection plan against staging sources (with anonymized custodian data).
4. Verify chain-of-custody records and platform-side load IDs.
5. Switch to production credentials only after a full successful dry-run.

## Known limits / production-readiness gaps

This is a skeleton. Before production:

1. Per-source export polling — Google Vault and M365 Compliance exports are async; the flow needs a poll-and-resume pattern (not bundled).
2. Per-source export-blob fetching — once the export is ready, the flow needs to download the blob and hash it (skeleton uses placeholder hash).
3. M365 Compliance branch — entirely skeleton; needs Content Search + Search Result Export wiring.
4. Slack Discovery branch — entirely skeleton; needs cursor-based per-channel paging.
5. E-discovery platform upload — not bundled; per-platform Relativity / Everlaw / Logikcull connector required.
6. Per-source rate limiting — the per-source nodes need rate limiters in production.
7. Error recovery — failed-export retry / replay logic not bundled.

This skeleton's value is in the orchestration shape and the audit / chain-of-custody discipline; the connector layer is the firm's ediscovery engineering work.

{
  "name": "Evidence collection ediscovery (skeleton)",
  "nodes": [
    {
      "parameters": {
        "httpMethod": "POST",
        "path": "collection-request",
        "responseMode": "lastNode",
        "options": { "rawBody": false }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000001",
      "name": "Collection Request",
      "type": "n8n-nodes-base.webhook",
      "typeVersion": 2,
      "position": [240, 400],
      "webhookId": "collection-request",
      "notesInFlow": true,
      "notes": "Webhook from legal-ops platform: {matter_id, collection_plan_id}. The collection plan is the counsel-approved scope; this flow executes against it, doesn't author it."
    },
    {
      "parameters": {
        "operation": "executeQuery",
        "query": "WITH plan AS (\n  SELECT collection_plan_id, plan_sha, custodian_id, source, scope_json\n  FROM collection_plans\n  WHERE collection_plan_id = $1 AND status = 'approved'\n)\nSELECT * FROM plan;",
        "options": { "queryReplacement": "={{ $json.collection_plan_id }}" }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000002",
      "name": "Load Collection Plan",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [460, 400],
      "credentials": {
        "postgres": { "id": "PLACEHOLDER_PLAN_DB_CRED_ID", "name": "Postgres — collection plans" }
      }
    },
    {
      "parameters": {
        "jsCode": "// For each (custodian, source) pair, prepare a per-source dispatch payload.\n// The flow's per-source nodes receive these payloads.\nconst rows = $input.all().map(r => r.json);\nconst trigger = $('Collection Request').item.json;\n\nif (rows.length === 0) {\n  return [{ json: { status: 'halted', reason: 'no_approved_plan_rows', collection_plan_id: trigger.collection_plan_id } }];\n}\n\nconst out = rows.map(row => ({\n  json: {\n    matter_id: trigger.matter_id,\n    collection_plan_id: trigger.collection_plan_id,\n    plan_sha: row.plan_sha,\n    custodian_id: row.custodian_id,\n    source: row.source,\n    scope: typeof row.scope_json === 'string' ? JSON.parse(row.scope_json) : row.scope_json,\n    requested_at: new Date().toISOString(),\n    collection_id: `coll-${Date.now()}-${Math.random().toString(36).slice(2, 8)}`,\n  }\n}));\n\nreturn out;"
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000003",
      "name": "Per-Source Dispatch",
      "type": "n8n-nodes-base.code",
      "typeVersion": 2,
      "position": [680, 400],
      "notesInFlow": true,
      "notes": "Fans out one item per (custodian, source) pair. The downstream switch routes by source."
    },
    {
      "parameters": {
        "rules": {
          "values": [
            {
              "conditions": {
                "options": { "caseSensitive": true },
                "conditions": [
                  { "leftValue": "={{ $json.source }}", "rightValue": "google-vault", "operator": { "type": "string", "operation": "equals" } }
                ],
                "combinator": "and"
              },
              "outputKey": "google"
            },
            {
              "conditions": {
                "options": { "caseSensitive": true },
                "conditions": [
                  { "leftValue": "={{ $json.source }}", "rightValue": "m365-compliance", "operator": { "type": "string", "operation": "equals" } }
                ],
                "combinator": "and"
              },
              "outputKey": "m365"
            },
            {
              "conditions": {
                "options": { "caseSensitive": true },
                "conditions": [
                  { "leftValue": "={{ $json.source }}", "rightValue": "slack-discovery", "operator": { "type": "string", "operation": "equals" } }
                ],
                "combinator": "and"
              },
              "outputKey": "slack"
            }
          ]
        },
        "options": { "fallbackOutput": "extra" }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000004",
      "name": "Source Switch",
      "type": "n8n-nodes-base.switch",
      "typeVersion": 3,
      "position": [900, 400]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "https://vault.googleapis.com/v1/matters/{{ $env.GOOGLE_VAULT_MATTER_ID }}/savedQueries",
        "authentication": "predefinedCredentialType",
        "nodeCredentialType": "googleApi",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "Content-Type", "value": "application/json" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"displayName\": \"{{ $json.collection_id }}\",\n  \"query\": {\n    \"corpus\": \"MAIL\",\n    \"dataScope\": \"ALL_DATA\",\n    \"searchMethod\": \"ACCOUNT\",\n    \"accountInfo\": { \"emails\": [\"{{ $json.scope.email }}\"] },\n    \"mailOptions\": { \"excludeDrafts\": false },\n    \"startTime\": \"{{ $json.scope.start_time }}\",\n    \"endTime\": \"{{ $json.scope.end_time }}\",\n    \"terms\": \"{{ $json.scope.terms }}\"\n  }\n}",
        "options": {
          "response": { "response": { "responseFormat": "json", "neverError": false } },
          "timeout": 60000
        }
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000005",
      "name": "Google Vault: Saved Query",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [1120, 280],
      "credentials": {
        "googleApi": { "id": "PLACEHOLDER_GOOGLE_VAULT_CRED_ID", "name": "Google Vault service account" }
      },
      "notesInFlow": true,
      "notes": "Creates a saved query in the matter; an export job is the next step (separate API call). Real production flow needs the full create-query → poll-export sequence; skeleton shown."
    },
    {
      "parameters": {
        "jsCode": "// Compute SHA-256 of the export, append chain-of-custody record.\n// Skeleton — production flow includes the actual export-fetch step.\nconst crypto = require('crypto');\nconst input = $input.first().json;\nconst dispatch = $('Per-Source Dispatch').item.json;\n\n// In production: fetch the actual export bytes here, hash them.\n// Skeleton uses a deterministic placeholder so the audit record shape is correct.\nconst placeholderHash = crypto.createHash('sha256').update(`${dispatch.collection_id}-${dispatch.source}`).digest('hex');\n\nreturn [{\n  json: {\n    matter_id: dispatch.matter_id,\n    collection_id: dispatch.collection_id,\n    custodian_id: dispatch.custodian_id,\n    source: dispatch.source,\n    plan_sha: dispatch.plan_sha,\n    collected_at: new Date().toISOString(),\n    collected_by_service_account: $env.COLLECTION_SERVICE_ACCOUNT || 'ediscovery-bot@firm',\n    hash: placeholderHash,\n    file_count: input.fileCount || 0,\n    byte_count: input.byteCount || 0,\n    scope_summary: JSON.stringify(dispatch.scope).slice(0, 500),\n    skeleton_warning: 'This skeleton flow does not fetch and hash actual export bytes. Production: replace with fetch + bytewise hash.',\n  }\n}];"
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000006",
      "name": "Hash + Chain-of-Custody",
      "type": "n8n-nodes-base.code",
      "typeVersion": 2,
      "position": [1340, 400]
    },
    {
      "parameters": {
        "operation": "insert",
        "schema": "public",
        "table": "collection_audit",
        "columns": "matter_id, collection_id, custodian_id, source, plan_sha, collected_at, collected_by_service_account, hash, file_count, byte_count, scope_summary",
        "additionalFields": {}
      },
      "id": "7a7a7a7a-0001-0000-0000-000000000007",
      "name": "Audit: Collection Complete",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [1560, 400],
      "credentials": {
        "postgres": {
          "id": "PLACEHOLDER_AUDIT_DB_CRED_ID",
          "name": "Postgres — chain-of-custody (append-only)"
        }
      }
    }
  ],
  "connections": {
    "Collection Request": { "main": [[{ "node": "Load Collection Plan", "type": "main", "index": 0 }]] },
    "Load Collection Plan": { "main": [[{ "node": "Per-Source Dispatch", "type": "main", "index": 0 }]] },
    "Per-Source Dispatch": { "main": [[{ "node": "Source Switch", "type": "main", "index": 0 }]] },
    "Source Switch": {
      "main": [
        [{ "node": "Google Vault: Saved Query", "type": "main", "index": 0 }],
        [],
        []
      ]
    },
    "Google Vault: Saved Query": { "main": [[{ "node": "Hash + Chain-of-Custody", "type": "main", "index": 0 }]] },
    "Hash + Chain-of-Custody": { "main": [[{ "node": "Audit: Collection Complete", "type": "main", "index": 0 }]] }
  },
  "settings": {
    "executionOrder": "v1",
    "timezone": "America/New_York",
    "saveExecutionProgress": true,
    "saveManualExecutions": true
  },
  "active": false,
  "versionId": "1"
}