> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# Plan d’intervention en cas d’incident : À l’aide des journaux

> Comment utiliser les journaux Auth0 dans le cadre du plan d’intervention en cas d’incident.

Examiner les journaux pour évaluer l’incidence d’une attaque est une étape importante de votre plan d’intervention en cas d’incident. Sur cette page, vous verrez comment accéder aux journaux sur <Tooltip href="/docs/fr-CA/fr-ca/glossary?term=auth0-dashboard" tip="Auth0 Dashboard
Principal produit d’Auth0 pour configurer vos services." cta="Voir le glossaire">Auth0 Dashboard</Tooltip> et quelques exemples de requêtes de recherche de journaux pour trouver des indicateurs d’une attaque et examiner l’activité du compte.

<div id="check-auth0-logs">
  ## Vérifier les journaux Auth0
</div>

1. [Connectez-vous à Auth0 Dashboard](https://manage.auth0.com/#)
2. La page des journaux est située sous **Surveillance** dans le menu à gauche.
3. Sur la page des journaux, vous verrez une barre de recherche ainsi qu’une sélection de filtre et un sélecteur de date.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/3aRX_yPVEOtgRzDg/docs/images/fr-ca/cdy7uua7fh8z/2l9LfKEjrprVmHfWt80VX0/852652bb1ef187dafc33547d0bf6f18d/2025-02-28_11-32-42.png?fit=max&auto=format&n=3aRX_yPVEOtgRzDg&q=85&s=cc1880ca655971a57c8b122df686cd95" alt="Dashboard Monitoring (Suivi) Logs (Journaux)" width="899" height="457" data-path="docs/images/fr-ca/cdy7uua7fh8z/2l9LfKEjrprVmHfWt80VX0/852652bb1ef187dafc33547d0bf6f18d/2025-02-28_11-32-42.png" />
</Frame>

Sélectionnez un événement de journal à partir de la liste pour voir un **Résumé** de l’événement et plus de **Détails** incluant le JSON brut.

<div id="log-structure">
  ### Structure du journal
</div>

Chaque événement de journal comprend les champs suivants :

<table class="table">
  <thead>
    <tr>
      <th>Champ</th>
      <th>Description</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>`date`</td>
      <td>Horodatage du moment où cet événement s’est produit.</td>
    </tr>

    <tr>
      <td>`log_id`</td>
      <td>L’identifiant de cet événement de journal.</td>
    </tr>

    <tr>
      <td>`type`</td>
      <td>Type d’événement de journal</td>
    </tr>

    <tr>
      <td>`description`</td>
      <td>La description de l’événement. .</td>
    </tr>

    <tr>
      <td>`connection`</td>
      <td>Le nom de connexion lié à l’événement.</td>
    </tr>

    <tr>
      <td>`connection_id`</td>
      <td>L’identifiant de connexion lié à l’événement.</td>
    </tr>

    <tr>
      <td>`client_id`</td>
      <td>L’ID client lié à l’événement.</td>
    </tr>

    <tr>
      <td>`client_name`</td>
      <td>Le nom du client lié à l’événement.</td>
    </tr>

    <tr>
      <td>`ip`</td>
      <td>L’adresse IP d’où provient la requête à l’origine de l’événement.</td>
    </tr>

    <tr>
      <td>`user_agent`</td>
      <td>L’agent utilisateur lié à l’événement.</td>
    </tr>

    <tr>
      <td>`details`</td>
      <td>Objet contenant des informations complémentaires sur cet événement.</td>
    </tr>

    <tr>
      <td>`user_id`</td>
      <td>L’identifiant de l’utilisateur lié à l’événement.</td>
    </tr>

    <tr>
      <td>`user_name`</td>
      <td>Le nom de l’utilisateur lié à l’événement.</td>
    </tr>

    <tr>
      <td>`strategy`</td>
      <td>La stratégie de connexion liée à l’événement.</td>
    </tr>

    <tr>
      <td>`strategy_type`</td>
      <td>Le type de stratégie de connexion lié à l’événement.</td>
    </tr>
  </tbody>
</table>

<div id="example-of-failed-login-log-event">
  ### Exemple d’un événement de journal de connexion qui a échoué
</div>

Voici l’exemple d’un événement de journal pour une connexion échouée provoquée par un mot de passe incorrect :

```json lines theme={null}
{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}
```

<div id="indicators-of-an-attack">
  ## Indicateurs d’une attaque
</div>

Repérer rapidement une attaque peut être difficile, mais voici certaines choses à rechercher dans vos journaux ainsi qu’un exemple de requêtes de demande :

* Nombre élevé d’échecs de connexion avec des noms d’utilisateur invalides ou de tentatives de connexion pour des utilisateurs inexistants.

  * `type:"fu"`
  * `description:"missing username parameter"`
  * `description:"Wrong email or password"`
* Grand nombre de comptes atteignant la limite de tentatives de connexion infructueuses.

  * `type:"limit_wc"`
* Un nombre élevé de tentatives de connexion à l’aide d’un mot de passe compromis.

  * `type:"pwd_leak"`

Au cours de votre enquête, notez les adresses IP, les applications ciblées et les connexions ou fournisseurs d’identité utilisés.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  La page [Syntaxe de requête de recherche de journaux](/docs/fr-CA/fr-ca/deploy-monitor/logs/log-search-query-syntax) fournit des détails sur la syntaxe des requêtes de journal d’Auth0 et inclut d’autres exemples de requêtes.
</Callout>

<div id="identify-compromised-user-accounts">
  ## Déterminer les comptes d’utilisateurs compromis
</div>

Pour déterminer les comptes d’utilisateurs susceptibles d’avoir été compromis, vous pouvez rechercher :

* Événements de connexion réussis à partir d’une adresse IP suspecte :

  * `type:"s" AND ip:"99.xxx.xxx.xxx"`

<div id="check-compromised-user-account-activity">
  ## Vérifier l’activité du compte utilisateur compromis
</div>

Après avoir déterminé qu’un compte utilisateur a été compromis, vérifiez l’activité de celui-ci :

* Rechercher d’autres événements de journal avec le même `user_id` : `user_id:"auth0|ABC123"`
* Vérifiez les champs d’événement de journal `client_name` ou `client_id` pour voir quelles applications ont été accédées. Notez le moment où l’accès a eu lieu.
* Vérifiez l’accès à l’administration ou les modifications de configuration Auth0
* Rechercher pour des appels de <Tooltip href="/docs/fr-CA/fr-ca/glossary?term=management-api" tip="Management API
  Un produit permettant aux clients d’effectuer des tâches administratives." cta="Voir le glossaire">Management API</Tooltip> récents : `type : « sapi »`

<div id="delete-or-block-users-from-the-dashboard">
  ## Supprimer ou bloquer des utilisateurs du tableau de bord
</div>

1. Allez à [Dashboard > Gestion des utilisateurs > Utilisateurs](https://manage.auth0.com/#/users).
2. Recherchez l’utilisateur à supprimer ou à bloquer.
3. Cliquez sur le bouton « **…** » à droite de l’utilisateur.
4. Sélectionnez **Bloquer** ou **Supprimer** et confirmez.
