> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Plan d’intervention en cas d’incident : À l’aide des journaux

> Comment utiliser les journaux Auth0 dans le cadre du plan d’intervention en cas d’incident.

Examiner les journaux pour évaluer l’incidence d’une attaque est une étape importante de votre plan d’intervention en cas d’incident. Sur cette page, vous verrez comment accéder aux journaux sur <Tooltip href="/docs/fr-ca/glossary?term=auth0-dashboard" tip="Auth0 Dashboard
Principal produit d’Auth0 pour configurer vos services." cta="Voir le glossaire">Auth0 Dashboard</Tooltip> et quelques exemples de requêtes de recherche de journaux pour trouver des indicateurs d’une attaque et examiner l’activité du compte.

## Vérifier les journaux Auth0

1. [Connectez-vous à Auth0 Dashboard](https://manage.auth0.com/#)
2. La page des journaux est située sous **Surveillance** dans le menu à gauche.
3. Sur la page des journaux, vous verrez une barre de recherche ainsi qu’une sélection de filtre et un sélecteur de date.

<Frame>
  <img src="https://mintcdn.com/docs-dev-actions-triggers-prototype/M4OX-dUcWfCOjXvH/docs/images/fr-ca/cdy7uua7fh8z/2l9LfKEjrprVmHfWt80VX0/852652bb1ef187dafc33547d0bf6f18d/2025-02-28_11-32-42.png?fit=max&auto=format&n=M4OX-dUcWfCOjXvH&q=85&s=26623dd56a4c32db5056176bfcfd4794" alt="Dashboard Monitoring (Suivi) Logs (Journaux)" width="899" height="457" data-path="docs/images/fr-ca/cdy7uua7fh8z/2l9LfKEjrprVmHfWt80VX0/852652bb1ef187dafc33547d0bf6f18d/2025-02-28_11-32-42.png" />
</Frame>

Sélectionnez un événement de journal à partir de la liste pour voir un **Résumé** de l’événement et plus de **Détails** incluant le JSON brut.

### Structure du journal

Chaque événement de journal comprend les champs suivants :

| Champ           | Description                                                         |
| --------------- | ------------------------------------------------------------------- |
| `date`          | Horodatage du moment où cet événement s’est produit.                |
| `log_id`        | L’identifiant de cet événement de journal.                          |
| `type`          | Type d’événement de journal                                         |
| `description`   | La description de l’événement. .                                    |
| `connection`    | Le nom de connexion lié à l’événement.                              |
| `connection_id` | L’identifiant de connexion lié à l’événement.                       |
| `client_id`     | L’ID client lié à l’événement.                                      |
| `client_name`   | Le nom du client lié à l’événement.                                 |
| `ip`            | L’adresse IP d’où provient la requête à l’origine de l’événement.   |
| `user_agent`    | L’agent utilisateur lié à l’événement.                              |
| `details`       | Objet contenant des informations complémentaires sur cet événement. |
| `user_id`       | L’identifiant de l’utilisateur lié à l’événement.                   |
| `user_name`     | Le nom de l’utilisateur lié à l’événement.                          |
| `strategy`      | La stratégie de connexion liée à l’événement.                       |
| `strategy_type` | Le type de stratégie de connexion lié à l’événement.                |

### Exemple d’un événement de journal de connexion qui a échoué

Voici l’exemple d’un événement de journal pour une connexion échouée provoquée par un mot de passe incorrect :

```json lines theme={null}
{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}
```

## Indicateurs d’une attaque

Repérer rapidement une attaque peut être difficile, mais voici certaines choses à rechercher dans vos journaux ainsi qu’un exemple de requêtes de demande :

* Nombre élevé d’échecs de connexion avec des noms d’utilisateur invalides ou de tentatives de connexion pour des utilisateurs inexistants.

  * `type:"fu"`
  * `description:"missing username parameter"`
  * `description:"Wrong email or password"`
* Grand nombre de comptes atteignant la limite de tentatives de connexion infructueuses.

  * `type:"limit_wc"`
* Un nombre élevé de tentatives de connexion à l’aide d’un mot de passe compromis.

  * `type:"pwd_leak"`

Au cours de votre enquête, notez les adresses IP, les applications ciblées et les connexions ou fournisseurs d’identité utilisés.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  La page [Syntaxe de requête de recherche de journaux](/docs/fr-ca/deploy-monitor/logs/log-search-query-syntax) fournit des détails sur la syntaxe des requêtes de journal d’Auth0 et inclut d’autres exemples de requêtes.
</Callout>

## Déterminer les comptes d’utilisateurs compromis

Pour déterminer les comptes d’utilisateurs susceptibles d’avoir été compromis, vous pouvez rechercher :

* Événements de connexion réussis à partir d’une adresse IP suspecte :

  * `type:"s" AND ip:"99.xxx.xxx.xxx"`

## Vérifier l’activité du compte utilisateur compromis

Après avoir déterminé qu’un compte utilisateur a été compromis, vérifiez l’activité de celui-ci :

* Rechercher d’autres événements de journal avec le même `user_id` : `user_id:"auth0|ABC123"`
* Vérifiez les champs d’événement de journal `client_name` ou `client_id` pour voir quelles applications ont été accédées. Notez le moment où l’accès a eu lieu.
* Vérifiez l’accès à l’administration ou les modifications de configuration Auth0
* Rechercher pour des appels de <Tooltip href="/docs/fr-ca/glossary?term=management-api" tip="Management API
  Un produit permettant aux clients d’effectuer des tâches administratives." cta="Voir le glossaire">Management API</Tooltip> récents : `type : « sapi »`

## Supprimer ou bloquer des utilisateurs du tableau de bord

1. Allez à [Dashboard > Gestion des utilisateurs > Utilisateurs](https://manage.auth0.com/#/users).
2. Recherchez l’utilisateur à supprimer ou à bloquer.
3. Cliquez sur le bouton « **…** » à droite de l’utilisateur.
4. Sélectionnez **Bloquer** ou **Supprimer** et confirmez.