ログフォワーダーの構成
開始する前に
以下を含め、Syslogサーバーの受信者がログイベントを受信するように構成する必要があります。
- Syslogイベントを受信できるSyslogサーバーが構成および利用可能であること。
- リモートロギング利用者の接続情報。 例:
パラメーター 例: ロガーの完全修飾型のIP アドレスまたは解決可能なDNS 名 192.168.1.1
my.graylog.server.ロガープロトコル
TCPまたはUDP
ロガーのリッスンポート
5514など適切なポート。
重要
Access Gatewayとログサーバーとの間の通信に使用するポートはオープンでなければなりません。
Access Gatewayはログサーバー接続を確認します。
ログフォワーダーレシーバーの作成
Graylogでログフォワーダーを作成するには:
- Graylogコンソールに管理者としてサインインします。
- [System Inputs(システム>入力)]を選択します。
- [Select Input(システム入力)]ドロップダウンで[Syslog UDP]を検索します。
- [Launch new input(新しい入力を開始)]をクリックします。
- [Launch New Syslog UDP Input(新しいSyslog UDP入力を開始する)]ダイアログボックスに以下を入力します。
その他のフィールドは変更しないでください。フィールド
値
Global(グローバル)
オン。
Title(タイトル)
適切なタイトル。
Port(ポート)
適切なポートを入力。
注記:このポート番号はAccess Gateway管理者インスタンスからアクセス可能でなければなりません。
オペレーティングシステムの制約を回避するためにSyslog入力レシーバーを設定する場合、Oktaでは2048以降のポート番号を使用することを推奨します。 - [Save(保存)]をクリックします。
- Access Gateway Admin UIコンソールに戻ります。
ログフォワーダ―の追加
リモートロガーを追加するには:
- Access Gatewayインスタンスに進みます。
- [Log Forwarder(ログフォワーダー)]ペインを選択します。
- (+)> [Syslog remote(Syslogリモート)]を選択します。
- [Add Forwarder(フォワーダーの追加): Syslog]ペインで以下を入力します。
フィールド
値
Name(名前)
フォワーダーの名前
Feed(フィード)
以下のうち1つ:
- AUDIT
- ACCESS
- MONITOR
各フィードの詳細についてはフィードの例を参照してください。
Protocol(プロトコル)
UDPまたはTCPを選択。 このプロトコルがログリスナーと一致していることを確認してください。
Host(ホスト)
リモートSyslogリスナーの解決可能なDNSまたはIPアドレスを入力。
Port(ポート)
リモートSyslogリスナーのポートを入力。
- [Validate Forwarder(フォワーダーの検証)]をクリックします。
Access Gatewayがリモートロガー接続情報を検証します。
必要に応じて、入力エラーを修正します。検証が問題なく終了したら、[Validate Forwarder(フォワーダーの検証)]ボタンが[Forwarder Validated(フォワーダー検証済)]に変わります。 - [Okay(OK)]をクリックします。
- ログフォワーダーのリストにログフォワーダーの定義が表示されます。
メモ
暫くの間Syslogの定義が検証中として表示されますが、問題なく終了すると有効に変わります。
ログフォワーダーのテスト
ログのフォワーディングをテストするには、以下が必要です。
- 構成済みのログフォワーダー。ログフォワーダーレシーバーの作成 セクションに記載の手順に従います。
- Access Gatewayノードで定義されたログフォワーダー。アクセスロガーは最もシンプルなテストであり、Access Gateway Admin UIコンソールへのサインインに基づいてイベントを生成します。
- 1つ以上のイベントを生成できること。
ログフォワーダーをテストするには:
- ログサーバーでシステムロガーを設定します。
- Access Gatewayでログフォワーダーを設定します。アクセスロガーが理想的です。
- システムロガーが開始し、イベントを受信できることを確認します。
- Access Gateway Adminコンソールでサインアウトした後、再びサインインします。
- ログサーバーを検証します。以下のようなイベントが複数生成されているはずです:
フィードの例
ログファイルの形式の例については Access Gatewayログについてを参照してください。
例:
タイプ | 説明 |
---|---|
AUDIT | 監査ログイベントにはユーザー認証を示すログエントリが含まれています。 監査ログの詳細と例についてはAccess Gateway監査ログを参照してください。 イベントの例: 2020-06-24T10:05:56.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP [] Startup complete, system ready. 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="MyIDP" DOMAIN="someorg.oktapreview.com" TYPE="IDP_OKTA" RESULT="PASS" REASON="VALID"] Success confirming IDP status with: someorg.oktapreview.com. |
ACCESS | アクセスログイベントにはユーザー認証やアプリケーションアクセスを表すログエントリが含まれています。例えば、所定のIPアドレスから特定のアプリケーションにアクセスした特定ユーザーなどです。アクセスイベントの詳細および例についてはAccess Gatewayアクセスログを参照してください。 イベントの例: 2020-06-24T09:41:08.000-05:00 example.myaccessgateway.com auth header.myexample.com 10.0.0.110 - - "GET /assets/images/image.png HTTP/2.0" 200 1229 "https://gw-admin.example.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36" "-" 0.029 0.028 . |
MONITOR | 監視ログイベントにはアプリケーションの設構成(追加、削除、変更)、証明書の構成、および認証モジュールの構成を表すログイベントが含まれています。 監査イベントの詳細と例についてはAccess Gateway監視ログを参照してください。 イベントの例: 2020-06-25T07:00:02.119-05:00 example.myaccessgateway.com OAG_MONITOR MONITOR DISK_USAGE INFO DISK_USAGE [FILESYSTEM="/dev/mapper/centos-root" MOUNT="/" USAGE="12%"] Mount / is 12% full |