メインコンテンツまでスキップ
Sumo Logic Japanese

OneLogin のログの収集

OneLogin 用 Sumo Logic アプリケーションの使用を開始する前に、前提条件を満たし、イベント出力フォーマットを決定し、OneLogin のイベント ブロードキャスタのリスナー URL を指定する必要があります。

機能

OneLogin ログへのアクセスを有効にして Sumo Logic に取り込みます。

前提条件

  • OneLogin Enterprise または Unlimited プランのサブスクリプション。

イベント ブロードキャスタの設定

  1. Sumo Logic ホスト型コレクタを Sumo Logic 組織に追加します。
  2. OneLogin データの HTTP ソースを設定します。OneLogin ソースを設定するときに、必ずソース カテゴリを設定してください。たとえば、onelogin とします。
  3. OneLogin からOneLogin のドキュメントの指示に従ってこのエンドポイントを指すブロードキャスタを設定します。SIEM (NDJSON) フォーマットを使用する必要があります。Sumo Logic HTTP ソース URL をリスナー URL として使用します。カスタム ヘッダーは必要ありません。

ログ メッセージのサンプル

ログ タイプ

OneLogin 用 Sumo Logic アプリケーションは、NDJSON フォーマットのイベント ログを使用します。各イベントは単一行の JSON で、次のような情報が含まれます。

{"event":{"create":{"_id":"443ce874-7704-54d2-b12f-b6e4a72ec6ef"},"entity":null,"role_id":null,"client_id":null,"trusted_idp_name":null,"notes":null,"app_name":null,"service_directory_id":null,"actor_system":"","login_name":null,"assuming_acting_user_id":null,"mapping_name":null,"directory_sync_run_id":null,"api_credential_name":null,"directory_id":null,"certificate_id":null,"group_id":null,"role_name":null,"imported_user_name":null,"resolved_at":null,"mapping_id":null,"authentication_factor_type":null,"user_field_name":null,"proxy_ip":null,"certificate_name":null,"task_name":null,"adc_id":null,"uuid":"443ce874-7704-54d2-b12f-b6e4a72ec6ef","note_title":null,"event_timestamp":"2017-03-21 00:09:27+0000","actor_user_name":"Peyton Newton","proxy_agent_id":null,"otp_device_name":null,"actor_user_id":11826257,"trusted_idp_id":null,"imported_user_id":null,"policy_type":null,"user_id":11826257,"resource_type_id":null,"login_id":null,"solved":null,"policy_id":null,"policy_name":null,"otp_device_id":null,"radius_config_name":null,"app_id":null,"user_name":"Peyton Newton","account_id":22348,"resolved_by_user_id":null,"radius_config_id":null,"error_description":null,"note_id":null,"param":null,"event_type_id":11,"proxy_agent_name":null,"privilege_id":null,"user_field_id":null,"authentication_factor_description":null,"ipaddr":"137.219.197.240","custom_message":null,"directory_name":null,"object_id":null,"group_name":null,"resolution":null,"privilege_name":null,"authentication_factor_id":null,"adc_name":null}}

クエリのサンプル 

名前 - ユーザ別のイベント  

_sourceCategory=onelogin
| json "event.event_type_id", "event.app_name","event.ipaddr", "event.user_name", "event.actor_user_name" as event_id, app_name, src_ip, user_name, actor_user_name  
| where event_id in ("10","11")
| count by user_name
| sort by _count

  • この記事は役に立ちましたか?