セッションログを管理する

SSHまたはRDPセッションの終了後、アドバンストサーバーアクセスのゲートウェイはセッションログを暗号化して格納します。ログは、アドバンストサーバーアクセスのクライアントを使ってエクスポート、復号、検証、レビューできます。アドバンストサーバーアクセスは、セッションログが攻撃者によって改ざんされていないことをクライアントを使って確認します。セッションログの管理は、sft session-logsを使って行うことができます。「アドバンストサーバーアクセスのクライアントを使用する」をご覧ください。

開始する前に

• アドバンストサーバーアクセスのクライアントをインストールして登録します。「アドバンストサーバーアクセスのクライアントをインストールする」をご覧ください。
• ログファイルをアドバンストサーバーアクセスのクライアントがアクセスできる場所に移動します。
• クライアントがセッションログにアクセスできるように、読み取り権限を変更します。Linuxでは、chmodコマンドを使用します。
• RDPセッションログをレビューするには、RDPセッショントランスコーダーをインストールする必要があります

SSHセッションログをレビューする

エクスポートされたセッションログは、一般的なasciinemaツールを使って再生できます。Oktaではこのプログラムを管理していませんが、asciinemaが読み取り可能な形式でセッションログを簡単にエクスポートできます。次のコマンドは、セッションログのレビュー方法を示す簡単な例です。詳しくは、asciinemaのドキュメントを参照してください。

1. ターミナルウィンドウを開いて次のコマンドを実行し、セッションログをasciinema形式でエクスポートします。

   sft session-logs export --format asciinema yourSessionLog.asa --output exportedSession.cast

2. 次のコマンドを実行し、エクスポートしたログを再生します。

   asciinema play exportedSession.cast

3. オプション。次のコマンドを実行し、エクスポートしたログをstdoutに出力します。

   asciinema cat exportedSession.cast

RDPセッションログをレビューする

記録され、アドバンストサーバーアクセスゲートウェイに保存されたRDPセッションは、.asa形式のバイナリから.mkvビデオ形式に変換できます。

1. ターミナルウィンドウを開いて次のコマンドを実行し、セッションログを.mkvビデオ形式でエクスポートします。高度な構文の使用方法については、「アドバンストサーバーアクセスのクライアントを使用する」をご覧ください。

   sft session-logs export /path/source-file.asa --format mkv --output /path

2. .mkvファイルのエクスポート先に移動し、GUIビデオプレーヤーを使って記録を再生します。

セッションログをデコードする

次のコマンドを使用して、Base64エンコードされた未加工のデータを復号します。デフォルトでは、ログの復号時には受信と送信の両方の文字が返されます。

sft session-logs export yourSessionLog.asa | jq -r '.frames[] | .logRequest.io.data' | base64 -d

よりクリーンな出力を得るには、次のコマンドを使って送信文字のみを復号します。

sft session-logs export yourSessionLog.asa | jq -r '.frames[] | select (.logRequest.io.direction == "OUTGOING") | .logRequest.io.data' | base64 -d

関連項目

• セッションキャプチャ
• RDPセッショントランスコーダーをインストールする
• アドバンストサーバーアクセスのクライアントを使用する