Le journal d'audit n'affiche aucun événement
Le journal d'audit VaultPAM enregistre l'activité pertinente du point de vue de la sécurité au fil des sessions, des identifiants et des actions administratives. Si le journal semble vide ou si des événements attendus sont absents, la cause est presque toujours un problème de filtre ou d'autorisation dans l'interface — et non une défaillance de la capture des événements. Passez en revue les causes ci-dessous avant de procéder à une escalade.
Symptômes
- La page Audit n'affiche aucun événement ou affiche un message « Aucun résultat trouvé ».
- Seuls certains événements sont visibles, mais des événements de session ou d'administration attendus sont absents.
- Le journal affiche des événements de certaines périodes mais pas d'autres.
- Un SIEM ou un pipeline d'export de journaux affiche moins d'événements que prévu.
Causes
1. Filtre de plage temporelle incorrect
L'affichage du journal d'audit utilise par défaut une fenêtre temporelle spécifique (par exemple, les dernières 24 heures). Si les événements que vous recherchez se sont produits en dehors de la fenêtre de filtre actuelle, ils n'apparaîtront pas.
Vérification : Ouvrez Audit → Événements et examinez le filtre Plage temporelle. Confirmez qu'il couvre la période durant laquelle les événements auraient dû se produire.
Correction : Élargissez le filtre de plage temporelle pour couvrir la période concernée. Utilisez Plage personnalisée si les fenêtres prédéfinies ne remontent pas assez loin.
2. L'utilisateur ne dispose pas de l'autorisation d'affichage du journal d'audit
L'accès au journal d'audit est une autorisation distincte de l'accès administrateur général. Un utilisateur disposant d'un rôle d'administrateur peut malgré tout ne pas avoir l'autorisation Afficher le journal d'audit si celle-ci ne lui a pas été explicitement accordée.
Vérification : Ouvrez Profil → Mes accès et confirmez que votre rôle inclut Afficher le journal d'audit. Si vous ne voyez pas du tout le menu Audit, c'est que vous ne disposez pas de cette autorisation.
Correction : Demandez à un administrateur VaultPAM d'accorder à votre rôle l'autorisation Afficher le journal d'audit via Organisation → Accès → Rôles → Modifier le rôle. La modification de l'autorisation prend effet immédiatement.
3. Événements filtrés par type
Le journal d'audit inclut un filtre par catégorie d'événement (par exemple, Session, Identifiant, Administration, Authentification). Si une ou plusieurs catégories sont désélectionnées, leurs événements n'apparaîtront pas dans l'affichage actuel.
Vérification : Ouvrez Audit → Événements et examinez le filtre Type d'événement. Confirmez que toutes les catégories pertinentes sont sélectionnées (ou que le filtre est réglé sur Tous).
Correction : Sélectionnez Tous dans le filtre de type d'événement ou activez manuellement les catégories dont vous avez besoin. Le filtre n'a aucune incidence sur ce qui est enregistré — uniquement sur ce qui est affiché dans la vue actuelle.
4. Délai de transfert vers le SIEM
Si votre organisation transfère les événements d'audit vers un SIEM (tel que Splunk, Elastic ou un collecteur syslog), il existe un délai de propagation inhérent entre le moment où un événement est enregistré dans VaultPAM et celui où il apparaît dans le SIEM. Pendant les périodes de volume élevé d'événements ou d'interruption de connectivité, ce délai peut s'étendre de quelques secondes à plusieurs minutes.
Vérification : Comparez l'événement visible dans le journal d'audit de l'interface VaultPAM avec ce que votre SIEM affiche pour la même fenêtre temporelle. Si l'interface VaultPAM affiche l'événement mais pas le SIEM, le délai se situe dans le pipeline de transfert, et non dans l'enregistrement d'audit VaultPAM lui-même.
Correction : Attendez que le délai de transfert s'écoule et actualisez la requête du SIEM. Si le délai dépasse le SLA attendu, demandez à un opérateur de vérifier l'état du connecteur SIEM dans les paramètres d'intégration VaultPAM et d'examiner la connectivité entre VaultPAM et le point de terminaison du SIEM.
Étapes de résolution
- Ouvrez Audit → Événements et confirmez que le filtre Plage temporelle couvre la période dans laquelle vous vous attendez à trouver des événements. Élargissez-le à Plage personnalisée si nécessaire.
- Confirmez que le filtre Type d'événement inclut la catégorie d'événement que vous recherchez. Sélectionnez Tous pour supprimer le filtrage par type.
- Vérifiez que votre rôle inclut l'autorisation Afficher le journal d'audit via Profil → Mes accès. Si ce n'est pas le cas, contactez un administrateur VaultPAM.
- Si les événements sont visibles dans l'interface VaultPAM mais absents de votre SIEM, attendez le délai de transfert et actualisez. Si le délai persiste, demandez à un opérateur de vérifier l'état de santé de l'intégration SIEM.
- Après avoir ajusté les filtres, actualisez la page du journal d'audit et vérifiez de nouveau.
Procédure d'escalade
Si le journal d'audit n'affiche toujours aucun événement après vérification des filtres et des autorisations :
- Notez la plage temporelle exacte, les types d'événements ainsi que l'utilisateur ou la ressource concernés.
- Vérifiez si les événements apparaissent du tout dans le journal de l'interface VaultPAM (avant le transfert vers le SIEM). Il s'agit de l'enregistrement de référence.
- Ouvrez un ticket d'assistance en y indiquant : la plage temporelle que vous avez recherchée, les types d'événements et les filtres appliqués, votre rôle et votre niveau d'autorisation, ainsi que la question de savoir si le journal de l'interface VaultPAM n'affiche lui non plus aucun événement.