Passer au contenu principal

Activité

See who did what across your Level organization. Activity records sign-ins, configuration changes, tag changes, and automation runs, with before-and-after detail and code diffs.

Introduction

Activité est la piste d'audit de Level. Elle enregistre qui a fait quoi, quand, et ce qui a changé, dans toute votre organisation : connexions, modifications de configuration, changements de tags, exécutions d'automatisations, modifications de moniteurs et de scripts, modifications de clés API, et bien plus encore.

La page globale Activité dans la barre latérale est l'enregistrement complet. La plupart des sections de Level disposent également de leur propre onglet Activité qui affiche les mêmes données filtrées pour cet appareil, cette automatisation, ce script, cette politique de moniteur ou cette section de paramètres.

Si vous avez déjà eu besoin de répondre à « qui a modifié ceci et quand ? » ou « qu'a réellement fait cette automatisation la nuit dernière ? », l'Activité est l'endroit où chercher.

ℹ️ REMARQUE : L'Activité est un enregistrement en lecture seule. Vous pouvez rechercher, filtrer et développer des entrées, mais vous ne pouvez pas les modifier ni les supprimer. C'est le principe même d'une piste d'audit.

La page Activité

Cliquez sur Activité dans la barre latérale gauche pour ouvrir l'enregistrement global. Il s'agit de la seule vue Activité qui utilise un tableau complet ; toutes les autres vues sont des chronologies délimitées (décrites ci-dessous).

Global Activity

Colonnes

Chaque ligne correspond à un événement enregistré. Le tableau comporte cinq colonnes :

  • Heure : la date et l'horodatage de l'événement. Le tableau est trié par Heure, du plus récent au plus ancien, par défaut.

  • Source : qui ou quoi a initié l'événement, avec un sous-libellé. Un technicien affiche son nom et son rôle (par exemple, «Level Team / Admin»). Un déclencheur d'automatisation affiche la planification et le type de déclencheur (par exemple, «Toutes les heures : 1 heure / Toutes les heures»). Un moniteur ayant déclenché une remédiation affiche le nom du moniteur et «Remédiation».

  • Activité : une description en langage courant de ce qui s'est passé. Par exemple, «Connecté via 2FA», «Créé l'action NO REBOOT», «Tag RAT appliqué à Avengers», ou «Modifié enabled sur Check Uptime Daily de true à false».

  • Contexte : l'objet sur lequel l'événement a agi, avec son type en dessous. Les types incluent Utilisateur, Automatisation et Appareil. «Tag RAT appliqué à Avengers» affiche Avengers comme contexte d'appareil.

  • Type : la catégorie de l'événement. Les valeurs incluent Accès, Automatisation, Configuration d'automatisation, Exécution d'automatisation, Tag, Clé API et Champs personnalisés, entre autres. L'ensemble complet est la liste affichée dans le filtre Catégorie filtre.

ℹ️ REMARQUE : Source et Contexte sont différents intentionnellement. Source désigne celui qui a agi ; Contexte désigne ce sur quoi il a agi. Une automatisation peut être la Source d'une exécution et le Contexte d'un changement de configuration, de sorte que le même nom d'automatisation peut apparaître dans l'une ou l'autre colonne selon l'événement.

Recherche et filtrage

Recherche correspond au texte de l'Activité, vous pouvez donc saisir un nom de tag, un nom d'action ou un nom d'appareil pour affiner la liste.

Cliquez sur Filtres pour choisir les contrôles de filtre à appliquer. Le panneau liste trois options : Catégorie, Source, et Date. Cochez-en un pour l'ajouter en tant que puce au-dessus du tableau. Chaque puce possède son propre menu déroulant et un X pour la supprimer.

Catégorie filtre par catégorie d'événement, les mêmes valeurs affichées dans la colonne Type colonne. Il s'agit d'une liste à sélection multiple avec une zone de recherche et Tout sélectionner. Les catégories incluent Accès, Clé API, Automatisation, Configuration d'automatisation, Exécution d'automatisation et Champs personnalisés, entre autres. La liste est alphabétique et défilante.

Source filtre par type d'acteur ayant initié l'événement : Utilisateur, Clé API, Appareil, Automatisation ou Déclencheur. Il s'agit d'une sélection multiple avec une zone de recherche.

Date filtre par plage de temps. Choisissez un préréglage (Aujourd'hui, Hier, 7 derniers jours, 14 derniers jours, 30 derniers jours, 6 derniers mois) ou définissez une plage personnalisée avec le calendrier de début et de fin, puis cliquez sur Appliquer. La valeur par défaut est Toute la période.

💡 CONSEIL : Ajoutez le filtre Catégorie filtre et sélectionnez Accès pour consulter l'historique des connexions, ou Configuration d'automatisation pour voir chaque modification apportée à vos automatisations. Associez-le à un filtre Date une plage pour limiter un audit à une fenêtre spécifique.

Afficher et masquer des colonnes

Cliquez sur Colonnes pour afficher ou masquer les colonnes du tableau. Les cinq sont activées par défaut : Heure, Source, Activité, Contexte et Type. Cliquez sur Réinitialiser les colonnes pour revenir à l'ensemble par défaut.

L'Activité dans chaque section

La plupart des sections de Level disposent de leur propre onglet Activité onglet. Il affiche le même type d'enregistrement que la page globale, déjà filtré pour l'élément que vous consultez, vous évitant ainsi de devoir parcourir le tableau complet.

Les onglets Activité délimitée utilisent une chronologie regroupée par date (Aujourd'hui, Hier, puis les dates individuelles) plutôt que le tableau global. Les entrées avec un chevron se développent pour afficher les détails au niveau des champs.

Activité des appareils

Ouvrez un appareil, puis accédez à l'onglet Activité dans la barre latérale de l'appareil (Appareils → [appareil] → Activité). Cela affiche l'activité limitée à cet appareil : les automatisations et moniteurs qui ont été exécutés sur celui-ci, ainsi que les modifications qui l'ont affecté.

Les entrées indiquent le déclencheur et l'heure d'exécution, par exemple :

  • «Daily: 12:00 AM triggered test on Agent Zero 1»

  • «Friday @ 12AM (Default) triggered Windows Updates on Agent Zero 1»

ℹ️ REMARQUE : L'Activité des appareils indique qu'une automatisation a été exécutée. Pour voir le résultat complet d'une exécution (statut, sortie par action, réexécution), utilisez l'historique des exécutions d'automatisation de l'appareil. Voir Automatisations des appareils.

Activité des automatisations

Ouvrez une automatisation, puis accédez à Activité (Automatisations → [automatisation] → Activité). Cela affiche à la fois les exécutions déclenchées par l'automatisation et les modifications de configuration qui lui ont été apportées.

L'Activité enregistre deux types d'entrées :

  • Exécutions : indiquent le déclencheur et l'appareil. Par exemple, «Monitor: Monitoring - Global / Windows Uptime Exceeds 30 Days triggered on odd-resolution».

  • Modifications de configuration : enregistrent les modifications telles que «Level Team created the trigger Monitor: Jacob / Uptime Exceeds 30 Days», ainsi que des actions agrégées comme «Level Team triggered 3 runs» ou «Level Team canceled on DESKTOP-FD3ST4S».

Cliquez sur le chevron d'une entrée de configuration pour la développer. La vue développée affiche l'état au niveau des champs, par exemple «enabled was true» et «monitor was Uptime Exceeds 30 Days».

💡 CONSEIL : Lorsqu'un déclencheur cesse de se déclencher comme prévu, vérifiez l'Activité de l'automatisation pour trouver une entrée «deleted the trigger» ou «Changed enabled ... from true to false». C'est le moyen le plus rapide de savoir si quelqu'un a modifié l'automatisation plutôt que l'automatisation elle-même ne soit défaillante.

Activité des scripts

Ouvrez un script, puis accédez à Activité (Scripts → [script] → Activité). Cela enregistre chaque modification sauvegardée du script, y compris le code lui-même.

Une entrée de modification résume ce qui a été sauvegardé, par exemple «Level Team saved 2 changes to Osquery Monitor - Uptime». Développez-la pour voir chaque modification individuelle.

Pour une modification de code, la modification affiche le delta du nombre de lignes (par exemple «+3 −1») et un lien Voir les modifications lien.

Cliquez sur Voir les modifications pour ouvrir le panneau de différences. Il affiche le code modifié avec les lignes supprimées en rouge et les lignes ajoutées en vert, les numéros de ligne, et un bouton Unifié / Séparé bascule. L'en-tête du panneau indique le script, le technicien et l'horodatage.

💡 CONSEIL : Le panneau de différences constitue la piste d'audit des modifications de scripts. Utilisez-le pour confirmer exactement ce qui a changé dans un script avant qu'un moniteur ou une automatisation ne commence à se comporter différemment, sans avoir à restaurer une ancienne version pour comparer visuellement.

Activité de la politique de moniteur

Ouvrez une politique de moniteur, puis accédez à Activité (Moniteurs → [politique] → Activité). Cela enregistre les modifications apportées aux moniteurs au sein de cette politique.

Une entrée de modification affiche un résumé tel que «Level Team saved 3 changes to Detect RAT». Développez-la pour voir ce qui a changé au niveau des champs :

  • Un nouveau moniteur affiche ses paramètres initiaux, comme «Set name to Remote Access Tool Detected», «Set severity to critical», «Set auto_resolve to true» et «Set application_names to [...]».

  • Une modification ultérieure affiche ce qui a changé, comme «installed changed to On» et «Updated application_names: Added Action1, Atera, Datto, N-able, Pulseway, Level, Syncro».

ℹ️ REMARQUE : L'Activité de la politique de moniteur suit les modifications apportées aux moniteurs dans la politique. Pour voir les alertes générées par ces moniteurs et la façon dont elles ont été résolues, utilisez Alertes des appareils ou dans la vue globale Alertes vue.

Activité de l'espace de travail

Accédez à Espace de travail → Activité. Cela enregistre les événements au niveau de l'espace de travail : connexions, changements de tags et modifications des champs personnalisés, de l'équipe et des permissions.

Les entrées se lisent ainsi :

  • «Level Team signed in via 2FA»

  • «Level Team applied tag RAT to Avengers»

  • «Level Team removed tag JACOB from Avengers»

  • «Level Team created tag NO REBOOT»

Activité des paramètres

Accédez à Paramètres → Activité. Cela enregistre les modifications apportées à vos paramètres : clés API, webhooks, intégrations et configuration de l'organisation.

Les entrées enregistrent le champ modifié et ses valeurs avant et après, par exemple «Level Team changed description on Read-only API key test 1».

Une entrée groupée se développe pour afficher chaque modification individuelle. Par exemple, «Level Team saved 2 changes to Level Development» s'ouvre en deux modifications sous-jacentes.

⚠️ AVERTISSEMENT : L'Activité des paramètres enregistre la modification des métadonnées d'une clé API (nom, description). Elle n'affiche pas la valeur secrète de la clé. Traitez les clés API comme des mots de passe et faites pivoter toute clé que vous pensez être compromise. Voir Paramètres des clés API.

Qui peut consulter l'Activité

La page globale Activité est réservée aux administrateurs. Les techniciens non administrateurs ne la voient pas du tout dans la navigation.

Partout ailleurs, l'Activité suit l'alignement des droits de lecture : le même périmètre de permissions que le reste de Level. Les techniciens voient l'onglet Activité sur tout appareil, automatisation ou politique auxquels ils ont déjà accès, limité à ce que leurs permissions couvrent. Un technicien avec un accès de groupe limité voit l'Activité par ressource pour ses groupes. Il n'obtient pas une version filtrée de la page globale, puisqu'il ne peut pas ouvrir la page globale en premier lieu.

L'accès à l'activité au niveau des paramètres et de l'espace de travail dépend du fait que le technicien peut ou non accéder à ces sections.

ℹ️ REMARQUE : Le périmètre de l'Activité est un alignement des droits de lecture, et non une permission distincte. Si un technicien peut déjà voir un appareil, une automatisation ou une politique, il peut voir son onglet Activité. Il ne peut pas voir l'activité des ressources auxquelles il n'a pas accès. Le seul verrou strict est la page globale Activité elle-même, qui est réservée aux administrateurs, quelle que soit l'étendue des droits de lecture.

FAQ

  • Quelle est la différence entre l'Activité et l'Historique ? L'Activité est la piste d'audit : qui a fait quoi, quelle configuration a changé, et un résumé des exécutions. L'Historique (et l'historique des exécutions d'automatisation sous Automatisations des appareils) est l'enregistrement d'exécution : le résultat détaillé de chaque exécution, incluant le statut, la sortie par action et l'option de réexécution. Utilisez l'Activité pour répondre à «qui a modifié ceci» et l'Historique pour répondre à «qu'a réellement fait cette exécution».

  • Puis-je modifier ou supprimer une entrée d'Activité ? Non. L'Activité est en lecture seule par conception. Vous pouvez rechercher, filtrer, développer et afficher les différences, mais les entrées ne peuvent pas être modifiées ni supprimées.

  • Pourquoi est-ce que je vois moins d'entrées qu'un collègue ? L'Activité est limitée à vos permissions. Vous voyez l'activité pour les groupes d'appareils et les ressources auxquels vous avez accès. Un collègue ayant un accès plus large en voit davantage. Voir Espace de travail → Permissions.

  • Le nom d'une personne apparaît comme Source, mais je sais qu'une automatisation a effectué le travail. Lequel est correct ? Les deux, à des niveaux différents. Si un technicien a déclenché manuellement l'exécution, il est la Source. Si c'est une planification ou un moniteur qui l'a déclenchée, le déclencheur ou le moniteur est la Source. Vérifiez le sous-libellé de la Source (rôle, «Toutes les heures», «Remédiation») pour distinguer les deux.

  • Le tableau global Activité n'affiche pas les détails dont j'ai besoin. Où se trouve la modification au niveau des champs ? Le tableau global est une liste plate. Pour les valeurs avant et après et les différences de code, ouvrez l'onglet Activité délimitée sur l'automatisation, le script, la politique de moniteur ou l'élément de paramètres concerné, et développez l'entrée.

  • L'Activité des paramètres expose-t-elle les valeurs de mes clés API ? Non. Elle enregistre les modifications de métadonnées telles que le nom et la description, mais pas la valeur secrète. La valeur de la clé est récupérable depuis Paramètres → Clés API à tout moment en utilisant l'option Copier la clé.

  • Qui peut consulter l'Activité ? Tout technicien peut consulter l'Activité, mais les enregistrements sont limités à ce que ses permissions lui permettent de voir. L'activité des paramètres et de l'espace de travail requiert l'accès à ces sections. Voir Espace de travail → Permissions pour la configuration des accès.

Articles connexes
Présentation des scripts
Alertes
Activité des paramètres
Activité de l'appareil
Activité de l'espace de travail
Avez-vous trouvé la réponse à votre question ?