OneLogin のログの収集
機能
OneLogin ログへのアクセスを有効にして Sumo Logic に取り込みます。
前提条件
-
OneLogin Enterprise または Unlimited プランのサブスクリプション。
イベント ブロードキャスタの設定
- Sumo Logic のホスト型コレクタを Sumo Logic 組織に追加します。
- OneLogin データの HTTP ソースを設定します。OneLogin ソースを設定するときに、必ずソース カテゴリを設定してください。たとえば、onelogin とします。
- OneLogin から、OneLogin のドキュメントの指示に従ってこのエンドポイントを指すブロードキャスタを設定します。SIEM (NDJSON) フォーマットを使用する必要があります。Sumo Logic HTTP ソース URL をリスナー URL として使用します。カスタム ヘッダーは必要ありません。
ログ メッセージのサンプル
ログ タイプ
OneLogin 用 Sumo Logic アプリケーションは、NDJSON フォーマットのイベント ログを使用します。各イベントは単一行の JSON で、次のような情報が含まれます。
{"event":{"create":{"_id":"443ce874-7704-54d2-b12f-b6e4a72ec6ef"},"entity":null,"role_id":null,"client_id":null,"trusted_idp_name":null,"notes":null,"app_name":null,"service_directory_id":null,"actor_system":"","login_name":null,"assuming_acting_user_id":null,"mapping_name":null,"directory_sync_run_id":null,"api_credential_name":null,"directory_id":null,"certificate_id":null,"group_id":null,"role_name":null,"imported_user_name":null,"resolved_at":null,"mapping_id":null,"authentication_factor_type":null,"user_field_name":null,"proxy_ip":null,"certificate_name":null,"task_name":null,"adc_id":null,"uuid":"443ce874-7704-54d2-b12f-b6e4a72ec6ef","note_title":null,"event_timestamp":"2017-03-21 00:09:27+0000","actor_user_name":"Peyton Newton","proxy_agent_id":null,"otp_device_name":null,"actor_user_id":11826257,"trusted_idp_id":null,"imported_user_id":null,"policy_type":null,"user_id":11826257,"resource_type_id":null,"login_id":null,"solved":null,"policy_id":null,"policy_name":null,"otp_device_id":null,"radius_config_name":null,"app_id":null,"user_name":"Peyton Newton","account_id":22348,"resolved_by_user_id":null,"radius_config_id":null,"error_description":null,"note_id":null,"param":null,"event_type_id":11,"proxy_agent_name":null,"privilege_id":null,"user_field_id":null,"authentication_factor_description":null,"ipaddr":"137.219.197.240","custom_message":null,"directory_name":null,"object_id":null,"group_name":null,"resolution":null,"privilege_name":null,"authentication_factor_id":null,"adc_name":null}}
クエリのサンプル
名前 - ユーザ別のイベント
_sourceCategory=onelogin
| json "event.event_type_id", "event.app_name","event.ipaddr", "event.user_name", "event.actor_user_name" as event_id, app_name, src_ip, user_name, actor_user_name
| where event_id in ("10","11")
| count by user_name
| sort by _count