Journal d'audit
Chaque mutation d'administrateur et de clé API dans votre organisation atterrit dans un flux d'audit unique. La page Journal d'audit filtre, pagine et exporte ce flux pour la réponse aux incidents, les revues d'historique de changements et les preuves de conformité.
Où cela se trouve
Barre latérale → Journal d'audit sous la section Vue d'ensemble, à /organization/audit-log. Visible uniquement par les administrateurs d'organisation.
Ce qui est enregistré
Les mutations sont auditées ; les actions en lecture seule (liste, get, requêtes du tableau de bord) ne le sont pas. Les exemples d'actions auditées incluent user.invited, user.updated, user.removed, team.created, assignment.created, assignment.updated, apikey.created, apikey.revoked, webhook.created et sarif.ingested. La liste complète des noms d'actions jamais vus par votre tenant est disponible via la liste déroulante de filtre Action.
Chaque ligne porte :
| Champ | Signification |
|---|---|
createdAt | Horodatage UTC du changement. |
action | Identifiant pointé de ce qui s'est passé. |
actorEmail + actorRole | Qui a effectué l'action. Les mutations de l'interface admin portent l'e-mail de l'humain et le rôle org_admin. Les mutations d'API publique portent apikey:<api-key-uuid> et le rôle api_key. |
targetType / targetId / targetLabel | La ressource qui a été modifiée. Le libellé est une courte description humainement lisible utilisée dans l'interface. |
metadata | Contexte sérialisé en JSON décrivant exactement ce qui a changé (par exemple les échéances avant/après sur une affectation, l'ensemble de portées sur une nouvelle clé API). |
ipAddress | IP source de la requête qui a causé le changement. |
Filtrage
La page combine quatre filtres ; ils restreignent tous l'ensemble de résultats ensemble, et un filtre vide est traité comme « n'importe quelle valeur ».
- Action — correspondance exacte sur le nom de l'action. La liste déroulante liste chaque action que votre tenant a jamais enregistrée.
- E-mail de l'acteur — correspondance exacte sur l'identifiant de l'acteur. Tapez un e-mail humain pour les mutations de l'interface admin ou collez
apikey:<api-key-uuid>pour isoler l'activité d'une clé API spécifique. - Du / Au — bornes de date UTC inclusives.
- Taille de page — 50 par défaut ; plafonné à 200.
Export CSV
Cliquez sur Exporter CSV en haut à droite pour télécharger l'ensemble de résultats filtré. L'export inclut chaque colonne listée ci-dessus plus une colonne metadata qui conserve la chaîne JSON d'origine — utile lors de l'envoi du fichier vers un SIEM ou un tableur capable d'analyser les cellules JSON.
Accès programmatique
Le même flux d'audit est accessible depuis l'API publique via GET /api/public/v1/audit-log avec les mêmes paramètres de requête que l'interface. Voir API → Journal d'audit pour l'enveloppe JSON et les règles de pagination. Les automatisations courantes incluent des sondages horaires incrémentaux vers un SIEM (Datadog, Splunk, Elastic) et des dumps hebdomadaires vers un magasin de preuves de conformité.
Ce qui n'est pas stocké
La ligne d'audit stocke l'e-mail de l'acteur, le rôle, les métadonnées cibles, l'adresse IP et un blob de métadonnées JSON. Elle ne stocke pas les corps de requête, les corps de réponse ou les chaînes User-Agent sur la ligne retournée. Le User-Agent est capturé côté serveur pour la forensique mais n'est pas exposé via l'interface admin ou l'API publique aujourd'hui.