Réponse exemple
GET/v1/workspace/audit-summaryRésumé agrégé du journal d'audit du workspace sur une fenêtre temporelle glissante.Cet endpoint lit le journal d'audit du workspace courant et renvoie un résumé agrégé plutôt que la liste brute des événements. Il compte tous les événements survenus depuis hours heures (24 par défaut), puis calcule le total d'événements, le top 5 des acteurs (par identifiant), le top 5 des actions (par type), et une liste d'anomalies détectées. La détection d'anomalies signale toute action ayant cumulé au moins 5 événements en statut failure ou denied sur la fenêtre, ce qui permet de repérer rapidement des tentatives répétées qui échouent (brute force, scope manquant, accès refusé). Le workspace est déterminé par la clé API utilisée : vous ne pouvez consulter que le journal du workspace lié à votre credential.
Authentification
Requiert une clé API valide portant le scope audit:read. La clé doit être transmise via l'en-tête Authorization: Bearer cof_live_... (ou cof_test_..., cof_rk_..., cof_mcp_...). Si le scope audit:read est absent des permissions de la clé, la requête est rejetée avec une erreur scope_missing.
Paramètres de requête
| Paramètre | Type | Requis | Description |
|---|---|---|---|
| hours | integer | Non | Taille de la fenêtre temporelle en heures, comptée à rebours depuis maintenant. Valeur par défaut : 24. La valeur est bornée entre 1 et 168 (7 jours) : toute valeur inférieure est ramenée à 1, toute valeur supérieure à 168. Une valeur non numérique retombe sur 24. |
Réponse
La réponse est un objet JSON contenant : hours (la fenêtre effectivement appliquée après bornage) ; total_events (nombre total d'événements d'audit sur la fenêtre) ; top_actors, un tableau d'au plus 5 objets { actor_id, count } triés par fréquence décroissante (les événements sans acteur sont regroupés sous actor_id: "anonymous") ; top_actions, un tableau d'au plus 5 objets { action, count } triés par fréquence décroissante (les actions sans libellé apparaissent sous "unknown") ; et anomalies, un tableau d'objets { kind, detail }. Chaque anomalie a pour kind la valeur repeated_failures et un detail textuel en français indiquant le nombre d'échecs et l'action concernée sur la fenêtre.
| Champ | Type | Description |
|---|---|---|
| hours | integer | Fenêtre effective en heures (1 à 168) après bornage. |
| total_events | integer | Nombre total d'événements d'audit sur la fenêtre. |
| top_actors | array | Jusqu'à 5 objets { actor_id, count } triés par count décroissant. |
| top_actions | array | Jusqu'à 5 objets { action, count } triés par count décroissant. |
| anomalies | array | Objets { kind, detail }. kind = repeated_failures lorsqu'une action cumule au moins 5 échecs/refus. |
Erreurs
| Code | Quand | Résolution |
|---|---|---|
| 401 missing_api_key | En-tête Authorization absent. | Ajoutez l'en-tête Authorization: Bearer cof_live_.... |
| 401 invalid_api_key | Credential mal formé, inconnu ou révoqué. | Vérifiez la clé et son préfixe (cof_live_, cof_test_, cof_rk_, cof_mcp_). |
| 403 scope_missing | La clé n'a pas le scope audit:read. | Émettez ou modifiez une clé incluant le scope audit:read. |
| 429 rate_limited | Quota par minute du workspace dépassé sur les endpoints de lecture. | Respectez l'en-tête Retry-After et réessayez après la fenêtre. |
| 500 internal_error | Échec de la requête sur la base d'audit côté serveur. | Réessayez ; si l'erreur persiste, contactez le support avec le request_id retourné. |
Voir aussi
GET /v1/workspace— informations générales sur le workspace lié à la clé.- GET /v1/audit — accès aux événements d'audit détaillés (le cas échéant), pour analyser les anomalies remontées ici.
- Documentation des scopes API et des limites de débit : https://docs.coffrify.com/api/rate-limits