セッションログを管理する

SSHまたはRDPセッションの終了後、Advanced Server Accessのゲートウェイはセッションログを暗号化して格納します。ログは、Advanced Server Accessのクライアントを使ってエクスポート、復号、検証、レビューできます。Advanced Server Accessは、セッションログが攻撃者によって改ざんされていないことをクライアントを使って確認します。セッションログの管理は、sft session-logsを使って行うことができます。「Advanced Server Accessのクライアントを使用する」をご覧ください。

はじめに

SSHセッションログをレビューする

エクスポートされたセッションログは、一般的なasciinemaツールを使って再生できます。Oktaにはこのプログラムはありませんが、セッションログはasciinemaで読み取れる形式で簡単にエクスポートできます。次のコマンドは、セッションログのレビュー方法を示す簡単な例です。詳しくは、asciinemaのドキュメントを参照してください。

  1. ターミナルウィンドウを開いて次のコマンドを実行し、セッションログをasciinema形式でエクスポートします。

    sft session-logs export --format asciinema yourSessionLog.asa --output exportedSession.cast

  2. 次のコマンドを実行し、エクスポートしたログを再生します。

    asciinema play exportedSession.cast

  3. 任意。次のコマンドを実行し、エクスポートしたログをstdoutに出力します。

    asciinema cat exportedSession.cast

RDPセッションログをレビューする

記録され、Advanced Server Accessゲートウェイに保存されたRDPセッションは、.asa形式のバイナリから.mkvビデオ形式に変換できます。

  1. ターミナルウィンドウを開いて次のコマンドを実行し、セッションログを.mkvビデオ形式でエクスポートします。高度な構文の使用方法については、「Advanced Server Accessのクライアントを使用する」をご覧ください。

    sft session-logs export /path/source-file.asa --format mkv --output /path

  2. .mkvファイルのエクスポート先に移動し、GUIビデオプレーヤーを使って記録を再生します。

セッションログをデコードする

次のコマンドを使用して、Base64エンコードされた未加工のデータを復号します。デフォルトでは、ログの復号時には受信と送信の両方の文字が返されます。

sft session-logs export yourSessionLog.asa | jq -r '.frames[] | .logRequest.io.data' | base64 -d

よりクリーンな出力を得るには、次のコマンドを使って送信文字のみを復号します。

sft session-logs export yourSessionLog.asa | jq -r '.frames[] | select (.logRequest.io.direction == "OUTGOING") | .logRequest.io.data' | base64 -d

関連項目