Log streaming

Log Streaming vous permet d'exporter facilement les événements du Okta System Log vers des plateformes externes prises en charge, Amazon EventBridge ou Splunk Cloud, quasiment en temps réel. Vous pouvez utiliser ces plateformes pour effectuer les tâches suivantes :

  • Surveillez les activités suspectes dans Okta.

  • Automatisez des actions pour atténuer les risques en réponse à des types d'événements spécifiques.

  • Déclenchez des alertes, résoudre des problèmes et effectuer une analyse des causes profondes.

  • Conservez des événements pendant des périodes prolongées pour répondre aux exigences de conformité.

Les événements Log Streaming, tels que l'activation ou la suppression de flux, peuvent être des appels d'événement. Pour obtenir la liste de ces événements, consultez le catalogue des événements.

Limitations et problèmes connus

  • Les seules intégrations disponibles sont créées et maintenues par Okta. Les soumissions ISV ne sont pas acceptées à l'heure actuelle.

  • Okta envoie tous les événements du Journal système à une cible de flux de journal configurée. Aucun filtrage d'événement n'est pris en charge.

  • La fonctionnalité de relance (renvoyer des événements à un moment précis) n'est pas prise en charge actuellement.

  • Si la cible cesse de prendre en compte un flux de journal, Okta le désactive et aucun événement n'est envoyé à la cible. Lorsque la cible fonctionne à nouveau, vous devez réactiver le flux de journal sur la page Log Streaming de Okta Admin Console.

  • Livraison d'événement : l'objectif premier est que les événements soient livrés. Les événements sont livrés au moins une fois vers un flux de journal actif. Dans certains cas, les événements peuvent arriver dans le désordre, et un même événement peut être envoyé plusieurs fois. Pour établir l'ordre, vous pouvez utiliser l'horodatage contenu dans la propriété data.events.published de chaque événement. Pour détecter une livraison d'événements en double, comparez la valeur eventId des événements entrants avec la valeur des événements précédemment reçus.

    Si le flux de journal répond à un événement de livraison par une erreur ou si le délai expire, la tentative de livraison échouera. Okta tente à nouveau la livraison lorsque l'une ou l'autre de ces situations se produit. Seules deux tentatives de livraison sont effectuées sans délai d'attente supplémentaire entre les tentatives avant la désactivation du flux de journal. Vous pouvez visualiser l'événement de désactivation system.log_stream.lifecycle.deactivate dans l'interface utilisateur du Journal système ou en utilisant l'API Journal système. L'état du flux indique qu'il est désactivé dans la configuration du flux de journal.

  • Latence d'événement : Okta ne garantit pas de durée maximale entre l'occurrence d'un événement et la livraison à un flux de journal. De plus, lorsqu'un service tiers est spécifié comme flux de journal, il peut ajouter un délai qui échappe au contrôle d'Okta. Si Okta n'a pas signalé de problème, mais que les événements associés à un flux actif n'apparaissent pas dans le service tiers spécifié, contactez l'assistance de ce service.

  • Les cibles de flux qui reçoivent des journaux sont des applications Non Okta. Les applications Non Okta regroupent des applications Web, hors ligne, mobiles ou autres, qui sont fournies par vous ou par un tiers et qui interagissent avec le service Okta.

    Envoyez des journaux aux applications Non Okta uniquement si vous êtes autorisé à le faire au nom de votre organisation. Okta ne peut pas garantir la continuité des partenariats ni des fonctionnalités avec les applications Non Okta.

Rubriques liées

Ajouter un flux de journal AWS EventBridge

Ajouter un flux de journal Splunk Cloud

Modifier le statut de votre flux de journal