Gérer les journaux de session

Une fois qu'une session SSH ou RDP a pris fin, la passerelle Okta Privileged Access chiffre et stocke les journaux de session. Vous pouvez utiliser le client Okta Privileged Access pour exporter, décoder, vérifier et examiner les journaux. Okta Privileged Access utilise le client afin de garantir que les journaux de session ne seront pas falsifiés par une personne malveillante. Les équipes peuvent gérer les journaux de session avec la commande sft session-logs. Consultez la section Utiliser le client Okta Privileged Access. Vous pouvez également configurer l'emplacement de stockage de vos journaux de session finaux. Consultez la section Options d'enregistrement de session.

Avant de commencer

  • Installez et inscrivez le client Okta Privileged Access . Consultez la section Installer le client Okta Privileged Access.
  • Déplacez les fichiers journaux vers un emplacement accessible par le client Okta Privileged Access.
  • Modifiez les autorisations de lecture de façon à ce que le client puisse accéder aux journaux de session. Sous Linux, utilisez la commande chmod.
  • Pour examiner les journaux de session RDP, vous devez installer le transcodeur RDP.

Examiner les journaux de session SSH

Vous pouvez utiliser l'outil bien connu asciinema afin de relire les journaux de session exportés. Si Okta n'assure pas la gestion de ce programme, les équipes peuvent tout de même facilement exporter les journaux de session dans un format lisible par asciinema. Les commandes suivantes sont de simples exemples de diverses façons d'examiner des journaux de session. Pour plus d'informations, nous vous invitons à consulter la documentation asciinema.

  1. Ouvrez une fenêtre de terminal et exportez un journal de session au format asciinema avec la commande suivante :

    sft session-logs export --format asciinema yourSessionLog.asa --output exportedSession.cast

  2. Relisez le journal exporté avec la commande suivante :

    asciinema play exportedSession.cast

  3. Facultatif. Imprimez le journal exporté vers stdout avec la commande suivante :

    asciinema cat exportedSession.cast

Examiner les journaux de session RDP

Une fois qu'une session RDP est enregistrée et stockée sur la passerelle Okta Privileged Access , le format binaire .asa peut être transcodé en format vidéo .mkv.

  1. Ouvrez une fenêtre de terminal et exportez un journal de session au format vidéo .mkv avec la commande suivante. Pour utiliser une syntaxe plus avancée, consultez la section Utiliser le client Okta Privileged Access.

    sft session-logs export --format mkv --output /path /path/source-file.asa

  2. Accédez à l'emplacement où le fichier .mkv est exporté et utilisez un lecteur vidéo GUI pour relire l'enregistrement.

Décoder les journaux de session

Utilisez la commande ci-dessous afin de décoder les données brutes encodées en Base64. Par défaut, décoder un journal permet de renvoyer les caractères sortants et entrants.

sft session-logs export yourSessionLog.asa | jq -r '.frames[] | .logRequest.io.data'| base64 -d

Pour un résultat plus clair, utilisez la commande suivante afin de ne décoder que les caractères sortants :

sft session-logs export yourSessionLog.asa | jq -r '.frames[] | select (.logRequest.io.direction == "OUTGOING") | .logRequest.io.data'| base64 -d

Rubriques liées

Enregistrement de session

Installer le transcodeur de session RDP

Utiliser le client Okta Privileged Access