メインコンテンツまでスキップ
Sumo Logic Japanese

OneLogin のログの収集

OneLogin 用 Sumo Logic アプリケーションの使用を開始する前に、前提条件を満たし、イベント出力フォーマットを決定し、OneLogin のイベント ブロードキャスタのリスナー URL を指定する必要があります。

機能

OneLogin ログへのアクセスを有効にして Sumo Logic に取り込みます。

前提条件

  • OneLogin Enterprise または Unlimited プランのサブスクリプション。

イベント ブロードキャスタの設定

  1. Sumo Logic Hosted Collectorを Sumo Logic 組織に追加します。
  2. OneLogin データの HTTP Source を設定します。OneLogin Source を設定するときに、必ず Source Category を設定してください。たとえば、onelogin とします。
  3. OneLogin からOneLogin のドキュメントの指示に従ってこのエンドポイントを指すブロードキャスタを設定します。SIEM (NDJSON) 形式を使用する必要があります。Sumo Logic HTTP Source URL をリスナー URL として使用します。カスタム ヘッダーは必要ありません。

ログ メッセージのサンプル

ログ タイプ

OneLogin 用 Sumo Logic アプリケーションは、NDJSON 形式のイベント ログを使用します。各イベントは単一行の JSON で、次のような情報が含まれます。

{"event":{"create":{"_id":"443ce874-7704-54d2-b12f-b6e4a72ec6ef"},"entity":null,"role_id":null,"client_id":null,"trusted_idp_name":null,"notes":null,"app_name":null,"service_directory_id":null,"actor_system":"","login_name":null,"assuming_acting_user_id":null,"mapping_name":null,"directory_sync_run_id":null,"api_credential_name":null,"directory_id":null,"certificate_id":null,"group_id":null,"role_name":null,"imported_user_name":null,"resolved_at":null,"mapping_id":null,"authentication_factor_type":null,"user_field_name":null,"proxy_ip":null,"certificate_name":null,"task_name":null,"adc_id":null,"uuid":"443ce874-7704-54d2-b12f-b6e4a72ec6ef","note_title":null,"event_timestamp":"2017-03-21 00:09:27+0000","actor_user_name":"Peyton Newton","proxy_agent_id":null,"otp_device_name":null,"actor_user_id":11826257,"trusted_idp_id":null,"imported_user_id":null,"policy_type":null,"user_id":11826257,"resource_type_id":null,"login_id":null,"solved":null,"policy_id":null,"policy_name":null,"otp_device_id":null,"radius_config_name":null,"app_id":null,"user_name":"Peyton Newton","account_id":22348,"resolved_by_user_id":null,"radius_config_id":null,"error_description":null,"note_id":null,"param":null,"event_type_id":11,"proxy_agent_name":null,"privilege_id":null,"user_field_id":null,"authentication_factor_description":null,"ipaddr":"137.219.197.240","custom_message":null,"directory_name":null,"object_id":null,"group_name":null,"resolution":null,"privilege_name":null,"authentication_factor_id":null,"adc_name":null}}

クエリのサンプル 

名前 - ユーザ別のイベント  

_sourceCategory=onelogin
| json "event.event_type_id", "event.app_name","event.ipaddr", "event.user_name", "event.actor_user_name" as event_id, app_name, src_ip, user_name, actor_user_name  
| where event_id in ("10","11")
| count by user_name
| sort by _count

  • この記事は役に立ちましたか?