Access Gateway監査ログ


Access Gateway監査ログには以下のイベントに関する情報が含まれています:

  • 管理者の指名 - 管理者の再指名プロセス中に発生するイベント。
  • 作成、更新、削除、アクティベート、非アクティベートなどアプリケーション関連の操作。
  • 認証、許可、およびポリシーなどの認証と許可のイベント。
  • 証明書イベント関連のイベント操作。
  • Access Gatewayとバックエンドアプリケーションやデータストア、さらに同様のコンディションの外部リソースとの間の接続性および検証
  • ログの詳細度変更に関連したイベント。
  • パスワード関連のイベント。
  • サポートVPN関連のイベント。
  • システム開始、システム終了、IDプロバイダーの接続ステータス、EBSサブシステム開始、有効または無効なNGINX構成などのシステムステータスイベント。
  • 作成、更新、または削除などのKerberos関連の操作。
  • 作成、更新、削除、同期や信頼できるドメイン操作中の例外などの信頼できるドメイン関連の操作。

開始する前に

イベントフィールド

フィールド

説明

TIMESTAMP

現在のシステムの日付と時刻

HOSTNAME

イベントを生成するノードのホスト名

APPLICATION

以下のうち1つ:

  • ACCESS_GATEWAY
  • OAG
  • OAG_MONITOR
  • 接続確認、ログなどの特定のサービス

SUB-PROCESS

以下のうち1つ:

  • ApplicationService
  • ACCESS
  • ADMIN_CONSOLE
  • EBS_SSOAGENT
  • HOST_IP_CHECK
  • MONITOR
  • SCRIPT
  • SERVICE
  • TrustedOriginUpdateScheduler
  • WEB_CONSOLE
  • または、check_connectionなどの特定のサービス

COMPONENT

以下のようなサブプロセスのコンポーネント:

  • AUTHN
  • AUTHZ
  • CLUSTER MANAGER ADMIN
  • ERROR
  • IDP
  • INFO
  • KRB5
  • LOG_DOWNLOAD_STATUS
  • LOG_PREPARE_OPERATION
  • LOG_PREPARE_STATUS
  • NGINX
  • SYSTEM
  • TRUSTED_DOMAINS

SUB-COMPONENT

以下のようなプロセスのサブコンポーネント:

  • ALERT
  • EBS_SSOAGENT
  • HOST
  • INFO
  • LOCAL
  • NETCAT
  • NOMINATION
  • POLICY
  • SESSION
  • STARTUP/SHUTDOWN

LOG_LEVEL

ログレベル。以下のうち1つの値:TRACE、DEBUG、INFO、WARN、ERROR、FATAL。

EVENT

イベントタイプ

STRUCTURED_DATA

発生したイベントに関連するデータ。

MESSAGE

読み取り可能なメッセージ。

管理者の指名

管理者の再指名が行われた時にログに記録されるイベント。

指名 - 開始

説明:管理者ノードで指名が開始した時に生成されるイベント。

メッセージ:

  • OAG Version - 2020.8.3, Cluster Manager Version - 2020.1.5.20200803.174755
    Starting authorized nomination process(正規の再指名プロセスが開始)
  • OAG Version - 2020.6.3, Cluster Manager Version - 2020.1.5.20200803.174755
  • Sent nomination.authKey to admin node - existingadmin[.domain.tld](nomination.authKeyを管理者ノードに送信 - existingadmin[.domain.tld])

例:

  • 2020-08-05T18:40:23.711-07:00 nodeB OAG ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Mgmt console Event [USER="oag-mgmt"] OAG Version - 2020.6.3, Cluster Manager Version - 2020.1.5.20200803.174755
  • 2020-08-05T18:40:23.711-07:00 nodeB OAG ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Mgmt console Event [USER="oag-mgmt"] Starting authorized nomination process - OAG Version - 2020.6.3, Cluster Manager Version - 2020.1.5.20200803.174755
  • 2020-08-05T18:40:23.905-07:00 nodeB ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send auth key to admin node [USER="oag-mgmt"] Sent nomination.authKey to admin node - existingadmin[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にoag-mgmt
    • .
  • 是正措置:
    • 該当なし
  • 指定 - 起動

    説明:管理者ノードで指名が開始した時に生成されるイベント。

    メッセージ:

    • Started nomination process with args: adminNode(指名プロセスをargs: adminNodeで開始しました) - [既存の管理者のDNS 名 ]、
      nominatedNode - [指名されたワーカーのDNS 名]、
      accessGatewayHostname - gw-admin.[domain.tld]

    例:

    • 2020-08-04T14:28:48.376-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Arguments [USER="root"] Started nomination process with args: adminNode - oag.nodeA.com,nominatedNode - oag.nodeC.com, accessGatewayHostname - gw-admin.[domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - ワーカーノードのバージョンが正しくない

    説明:1つ以上のノードが必要な機能バージョンになっていない。

    メッセージ:

    • Incompatible node list - [worker.[domain.tld]...] Update worker nodes to version - 2020.8.3 or higher.(非互換性ノードリスト - [worker.[domain.tld]...] ワーカーノードをバージョン2020.8.3以降にアップデートしてください)

    例:

    • 2020-08-04T14:28:48.380-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Determine Version Compatibility [USER="root"] Incompatible Node List - oag.nodeB.com,oag.nodeD.com. Update worker nodes to version - 2020.8.3 or higher
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 特定されたワーカーノードをバージョン2020.8.3以降にアップデートし、再指名プロセスを再実行します。
  • 指名 - 指名されたワーカーがクラスターから分離

    説明:指名されたワーカーが新規管理者ノードとなる前にクラスターから分離されているときに生成されるイベント。

    メッセージ:

    • Removed nominated admin node - existingadmin[.domain.tld] from HA configuration files(指名された管理者ノード - existingadmin[.domain.tld] がHA構成ファイルから削除)
    • Failed to remove nominated admin node - existingadmin[.domain.tld] from HA configuration files(指名された管理者ノード - existingadmin[.domain.tld] がHA構成ファイルから削除できません)

    例:

    • 2020-08-04T14:28:48.380-05:00 existingadmin.[.domain.tld] ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Remove nominated node from HA [USER="root"] Removed nominated admin node - name[.domain.tld] from HA configuration files.
    • 2020-08-04T14:28:48.380-05:00 existingadmin.[domain.tld] ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Remove nominated node from HA [USER="root"] Failed to remove nominated admin node - name[.domain.tld] from HA configuration files.
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 不要:操作に失敗した場合、管理者ノードは元の状態に戻される。指名されたノードもまた再指名前の状態に戻される。
  • 指名 - 指名されたノードが複製された

    説明:現在の構成が指名されたワーカーに転送された時に生成されるイベント。

    メッセージ:

    • Transferred HA configuration files from current admin node - worker[.domain.tld].(現在の管理者ノード - worker[.domain.tld]からHA構成ファイルが転送されました)
    • Failed to transfer HA configuration files from current admin node - worker[.domain.tld].(現在の管理者ノード - worker[.domain.tld]からHA構成ファイルが転送されませんでした)

    例:

    • 2020-08-04T14:27:42.345-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Copy HA configs [USER="root"] Transferred HA configuration files from current admin node - worker[.domain.tld].
    • 2020-08-04T14:27:42.345-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Copy HA configs [USER="root"] Failed to transfer HA configuration files from current admin node - worker[.domain.tld].
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にoag-mgmt
  • 是正措置:
    • 不要:操作に失敗した場合、指名されたワーカーノードは元の状態に復元される。
  • 指名 - 鍵の交換

    説明:既存の管理者と指名後の管理者との間で必要な鍵が交換された時に生成されるイベント。

    メッセージ:

    • Backup of ssh keys completed for nominated node - newadmin.[domain.tld].(指名されたノード - newadmin.[domain.tld]でssh鍵のバックアップが完了)

    例:

    • 2020-08-04T14:27:42.362-05:00 newadmin[.domain.tld] ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Backup SSH Keys [USER="root"] Backup of ssh keys completed for nominated node - worker.[domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にoag-mgmt
  • 指名 - 鍵の交換

    説明:管理者とワーカーとの間で必要な鍵の同期が行われた時に生成されるイベント。

    メッセージ:

    • Synced known_hosts and authorized_keys of current admin node - worker[.domain.tld] with all worker nodes.(現在の管理者ノードであるワーカーworker[.domain.tld] のknown_hostsとauthorized_keysの全ワーカーノードとの同期が完了しました)
    • Failed to sync known_hosts and authorized_keys of current admin node - oag.nodeA.com with all worker nodes.(現在の管理者ノード - oag.nodeA.comのknown_hostsとauthorized_keysの全ワーカーノードとの同期に失敗しました)

    例:

    • 2020-08-04T14:27:43.823-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Sync keys [USER="root"] Synced known_hosts and authorized_keys of current admin node - worker[.domain.tld] with all worker nodes
    • 2020-08-04T14:27:43.823-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Sync keys [USER="root"] Failed to sync known_hosts and authorized_keys of current admin node - worker[.domain.tld] with all worker nodes
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 不要:操作に失敗した場合、指名されたワーカーノードは元の状態に復元される。
  • 指名 - ワーカーの高可用性の構成をアップデート

    説明:指名された管理者とワーカーとの間で高可用性構成の交換中に生成されるイベント。

    メッセージ:

    • Prepared HA config file - /tmp/nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json for worker node - workerX[.domain.tld].(ワーカーノード - workerX[.domain.tld]用にHA構成ファイル - /tmp/nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.jsonが用意されました)
    • Sent nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json file to worker node - workerX[.domain.tld].(nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.jsonファイルがワーカーノード - workerX[.domain.tld]に送信されました)
    • Prepared HA config file - /tmp/nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json for worker node - workerX.[domain.tld](ワーカーノード - workerX.[domain.tld]用にHA構成ファイル - /tmp/nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.jsonが用意されました)
    • Sent nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json file to worker node - workerX.[.domain.tld](nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.jsonファイルがワーカーノード - workerX.[.domain.tld]に送信されました)

    例:

    • 2020-08-04T14:27:43.883-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Prep HA config for worker node [USER="root"] Prepared HA config file - /tmp/nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json for worker node - workerX[.domain.tld]
    • 2020-08-04T14:27:44.086-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send HA config to worker node [USER="root"] Sent nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json file to worker node - workerX[.domain.tld].
    • 2020-08-04T14:27:44.107-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Prep HA config for worker node [USER="root"] Prepared HA config file - /tmp/nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json for worker node - workerX[.domain.tld]
    • 2020-08-04T14:27:44.307-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send HA config to worker node [USER="root"] Sent nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json file to worker node - workerX[.domain.tld].
    • 2020-08-04T14:27:44.307-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send HA config to worker node [USER="root"] Failed to send nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json file to worker node - workerX[.domain.tld].
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 不要:操作に失敗した場合、指名されたワーカーノードと影響を受けたワーカーノードは元の状態に戻される。
  • 指名 - ワーカーの高可用性の構成をアップデート

    説明:ワーカーが新しい高可用性構成を受信確認した時に生成されるイベント。

    メッセージ:

    • Received - 0/2 acknowledgements so far(現在0/2ノードで確認済)
    • eceived acknowledgment for Worker node - workerX[.domain.tld] with updated Admin Node - newadmin[.domain.tld](ワーカーノード - workerX[.domain.tld]が管理者ノード - newadmin[.domain.tld]のアップデート受信を確認)
    • Received - 2/2 acknowledgements so far(現在2/2人ノードで確認済)
    • Newly nominated admin node - newadmin[.domain.tld] has been acknowledged by all worker nodes(新しく指名された管理者ノード - newadmin[.domain.tld]がすべてのワーカーノードで確認されました)
    • Received acknowledgment 1/2 acknowledgements so far(現在1/2ノードで確認済)

    例:

    • 2020-08-04T14:27:44.346-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received - 0/2 acknowledgements so far
    • 8-04T14:27:54.383-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received acknowledgment for Worker node - workerX.[domain.tld] with updated Admin Node - newadmin[.domain.tld]
    • 2020-08-04T14:27:54.428-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received - 2/2 acknowledgements so far
    • 2020-08-04T14:28:04.448-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Newly nominated admin node - oag.nodeC.com has been acknowledged by all worker nodes
    • 2020-08-04T14:28:04.448-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received acknowledgment 1/2 acknowledgements so far
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にoag-mgmt
  • 是正措置:
    • 特定のユーザーが確認応答を返さない場合は原因究明のためにサポートに連絡してください。
  • 指名 - 既存の管理者をスタンドアロンに戻す

    説明:既存の管理者がスタンドアロンノードになり、再指名が完了した時に生成されるイベント。

    メッセージ:

    • Reset HA configs of older admin node - oldadmin[.domain.tld](旧管理者ノード - oldadmin[.domain.tld]のHA構成ファイルをリセット)

    例:

    • 2020-08-04T14:28:04.806-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Reset admin node HA setup [USER="root"] Reset HA configs of older admin node - oag.nodeA.com
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - リセットの確定

    説明:既存の管理者がスタンドアロンにリセットされたことを確認した際に生成されるイベント。

    メッセージ:

    • Admin nomination process completed successfully for new admin node - existingadmin[.domain.tld].(新規管理者ノード - existingadmin[.domain.tld]で管理者の指名プロセスが問題なく完了)
    • Reset HA configs for admin node - existingadmin[.domain.tld](管理者ノード - existingadmin[.domain.tld]のHA設定をリセット)

    例:

    • 2020-08-04T14:28:04.818-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Nomination completed [USER="root"] Admin nomination process completed successfully for new admin node - oldamin[.domain.tld].
    • 2020-08-04T14:28:04.818-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Nomination completed [USER="root"] Admin nomination process completed successfully for new admin node - oldamin[.domain.tld].
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - 不正な承認コード

    説明:管理者ユーザーが間違った、あるいは正しい再指名承認コードを入力した時に生成されるイベント。

    メッセージ:

    • Authorization token is correct.(正しい承認トークンです)
    • Authorization token is incorrect.(承認トークンが間違っています)
    • Initiating nomination process on Nominated node - newadmin[.domain.tld].(指名されたノード - newadmin[.domain.tld]で指名プロセスを開始)
    • Sent nolock.start_admin_nomination.json to nominated node - oag.nodeC.com(nolock.start_admin_nomination.jsonが指名されたノード - oag.nodeC.comに送信しました)

    例:

    • 2020-08-06T12:15:23.136-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Auth Token Verification [USER="oag-mgmt"] Authorization token is correct
    • 2020-08-06T12:13:49.224-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Auth Token Verification [USER="oag-mgmt"] Authorization token is incorrect
    • 2020-08-06T12:15:23.148-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Initiate nomination [USER="oag-mgmt"] Initiating nomination process on Nominated node - newadmin[.domain.tld].
    • 2020-08-06T12:15:23.423-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Initiate nomination [USER="oag-mgmt"] Sent nolock.start_admin_nomination.json to nominated node - oag.nodeC.com
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にoag-mgmt
  • 是正措置:
    • 正しいコードを再入力します。
  • 指名 - 既存の管理者がメンテナンスモードになった

    説明:既存の管理者がメンテナンスモードになったときに生成されるイベント。

    メッセージ:

    • Started Admin Node Nomination App on admin node - existingadmin.[domain.tld](管理者ノード - existingadmin.[domain.tld]で管理者ノード指名アプリが開始)

    例:

    • 2020-08-06T13:06:41.872-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Started Admin Node Nomination App [USER="oagha"] Started Admin Node Nomination App on admin node - existingadmin[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - 既存の管理者がメンテナンスモードから抜けた

    説明:生成されるイベント

    メッセージ:

    • Activated Admin App for admin node - existingadmin[.domain.tld].(管理者ノード - existingadmin[.domain.tld]で管理者アプリがアクティベートされました)。
    • Removed Admin Node Nomination Mode App for admin node - existingadmin[.domain.tld].(管理者ノード - existingadmin[.domain.tld]で管理者ノード指名モードアプリが削除されました)。
    • Reset process completed for admin node - existingadmin[.domain.tld].(管理者ノード - existingadmin[.domain.tld]のリセットプロセスが完了しました)。

    例:

    • 2020-08-06T13:08:05.086-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Activate Admin App [USER="oagha"] Activated Admin App for admin node - existingadmin[.domain.tld]
    • 2020-08-06T13:08:05.105-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Removed Nomination Mode App [USER="oagha"] Removed Admin Node Nomination Mode App for admin node - existingadmin[.domain.tld]
    • 2020-08-06T13:08:05.118-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Reset process completed [USER="oagha"] Reset process completed for admin node - existingadmin[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にoagha
  • 是正措置:
    • 該当なし
  • 指名 - 既存の管理者モードでバックアップが起動

    説明:既存の管理者でバックアップが実行された時に生成されるイベント。

    メッセージ:

    • sudo ...

    例:

    • 2020-08-06T13:06:42.000-05:00 existingadmin[.domain.tld] sudo oagha : TTY=unknown ; PWD=/opt/oag/configs/ha/configs.install ; USER=root ; COMMAND=/opt/oag/scripts/oag_backup.sh
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - 公開鍵および非公開鍵が新しい管理者に譲渡

    説明:必要な公開鍵と非公開鍵が新しい管理者に譲渡された時に生成されるイベント。

    メッセージ:

    • Copied private key of oagha user from node - existingadmin[.domain.tld to nominated node - newadmin[.domain.tld].(ノード - existingadmin[.domain.tld]から指名されたノード - newadmin[.domain.tld]へoaghaユーザーの非公開鍵をコピーしました)
    • Copied public key oagha user from node - existingadmin[.domain.tld] to nominated node - existingadmin[.domain.tld].(ノード - existingadmin[.domain.tld]から指名されたノード - existingadmin[.domain.tld]へoaghaユーザーの公開鍵をコピーしました)

    例:

    • 2020-08-06T13:07:43.331-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Copy user private key [USER="oagha"] Copied private key of oagha user from node - existingadmin[.domain.tld] to nominated node - newadmin.[domain.tld]
    • 2020-08-06T13:07:43.515-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Copy user public key [USER="oagha"] Copied public key oagha user from node - existing.[domain.tld] to nominated node - newadmin.[domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - ワーカーノードの鍵をアップデート

    説明:鍵がワーカーノードに書き込まれた時に生成されるイベント。

    メッセージ:

    • Public host keys of nominated admin node - workerX[.domain.tld] has been added to known_hosts file of worker node - newadmin[.domain.tld](指名された管理者ノード - workerX[.domain.tld]のホスト公開鍵がワーカーノード - newadmin[.domain.tld]の既知のホストファイルに追加されました)

    例:

    • 2020-08-06T13:07:43.228-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Update keys [USER="root"] Public host keys of nominated admin node - workerX.[domain.tld] has been added to known_hosts file of worker node - newadmin[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - ワーカー構成のアップデート

    説明:ワーカーノードの鍵がアップデートされた時に生成されるイベント。

    メッセージ:

    • Public host keys of nominated admin node - workerX[.domain.tld] has been added to known_hosts file of worker node - newadmin[.domain.tld](指名された管理者ノード - workerX[.domain.tld]のホスト公開鍵がワーカーノード - newadmin[.domain.tld]の既知のホストファイルに追加されました)

    例:

    • 2020-08-06T13:07:44.505-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Update HA Config [USER="root"] Updated HA config file - /opt/oag/configs/events/config/ha_configuration.config with nominated admin node as - newadmin[.domain.tld] and worker nodes as - workerX[.domain.tld], workerY[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - 確認

    説明:指名の受信確認の際に生成されるイベント。

    メッセージ:

    • Prepared acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep.(受信確認ファイル - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prepの準備ができました)
    • Sent acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep to nominated admin node - newadmin[.domain.tld](受信確認ファイル - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prepが指名された管理者ノード - newadmin[.domain.tld]に送信されました)

    例:

    • 2020-08-06T13:07:44.520-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Prepare Ack file [USER="root"] Prepared acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep
    • 2020-08-06T13:07:44.734-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Sent Ack file [USER="root"] Sent acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep to nominated admin node - newadmin[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • 指名 - 指名に成功

    説明:指名が問題なく完了した時に生成されるイベント

    メッセージ:

    • Admin nomination process completed successfully on worker node - newadmin[.domain.tld].(ワーカノード- newadmin[.domain.tld]で管理者の指名プロセスが問題なく終了しました)

    例:

    • 2020-08-06T13:07:44.746-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Sent Ack file [USER="root"] Admin nomination process completed successfully on worker node - newadmin[.domain.tld]
  • 構造化データ:
    • USER - 指名アクションを実行するユーザー、常にroot
  • 是正措置:
    • 該当なし
  • アプリケーション

    SYSTEM_APP_EVENT

    アプリケーションが作成、更新、削除、アクティベート、または非アクティベートされた時に発生するイベント。

    • メッセージ:Application: <Application Name> action: CREATE(Application:<アプリケーション名>: CREATE)
      Application: <Application Name> action: UPDATE(Application:<アプリケーション名>: UPDATE)
      Application: <Application Name> action: DELETE(Application:<アプリケーション名>: DELETE)
      Application: <Application Name> action: ENABLE(Application:<アプリケーション名>: DISABLE)
      Application: <Application Name> action: DISABLE(Application:<アプリケーション名>: DISABLE)


    • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="93d2e78a-c6b7-4c27-83c8-15c2b783d3bb" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="CREATE" SESSION_ID="3dKU4yqIlHkcRUeGb9f9Dh6OSgFjHq3hIMVktx7h" SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'CREATE'

      2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID>" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="UPDATE" SESSION_ID="<Session ID> " SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'UPDATE'

      2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID> " NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="ENABLE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'ENABLE'

      2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID>" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="DISABLE" SESSION_ID="<Session ID> " SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'DISABLE'

      2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Applicatuin GUID> " NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="DELETE" SESSION_ID="<Session ID> " SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'DELETE'

    • 構造化データ:
      • GUID - アプリケーション識別子
      • NAME - アプリケーション名
      • TYPE - アプリケーションのタイプ
      • DOMAIN - アプリケーションのドメイン
      • IDP - アプリケーションのIDP
      • IDP_TYPE- OktaまたはLOCAL
      • REASON - CREATE、UPDATE、DELETE、ENABLE、DISABLEのいずれか1つ
      • SESSION_ID - ユーザーセッション用に作成された内部セッションID
      • SUBJECT - 操作を実行するユーザー、通常は管理者
      • REMOTE_ID - 利用可能な場合、ユーザーのIPアドレス
      • USER_AGENT - ブラウザーの詳細

    証明書イベント

    証明書の追加、更新、または割り当て時にログ記録されるイベント。詳しくはAccess Gateway証明書についておよび証明書および証明書チェーンを管理するをご覧ください。これには従来の証明書、または証明書チェーン認証に関連付けられたアクションが含まれています。

    証明書の読み取りに失敗

    説明:Access Gateway Managementコンソールを使用して証明書を追加または更新する際に、無効な証明書が提供された。

    メッセージ:

    • Failed to read certificate.(証明書の読み取りに失敗しました)

    例:

    • 2020-08-10 15:42:30.583 ERROR 1336 --- [ XNIO-2 task-11] com.okta.oag.service.CertificateService : Failed to read certificate from file /opt/oag/nginx/ssl//test.crt. Error: /opt/oag/nginx/ssl/test.crt (Permission denied) This is generated while reading certificate and any certificate is lacking read permission.
  • 構造化データ:
    • なし
  • 是正措置:
    • アップロードする証明書が有効であることを確認し、権限を確認します。
  • 証明書の形式が無効

    説明:Access Gateway Managementコンソールを使用して証明書を追加または更新する際に、無効な証明書が提供された。

    メッセージ:

    • Error: Could not parse certificate.(エラー:証明書を解析できません)

    例:

    • 2020-08-10 15:41:51.682 ERROR 1336 --- [ XNIO-2 task-11] com.okta.oag.service.CertificateService : Failed parse certificate file /opt/oag/nginx/ssl//test.crt. Error: Could not parse certificate: java.io.IOException: Empty input This is generated when certificate file being read is not a valid PEM format certificate file i.e. parsing error.
  • 構造化データ:
    • なし
  • 是正措置:
    • アップロードする証明書が有効であることを確認し、再試行します。
  • 保護対象Webリソースの値が無効

    説明:Access Gateway Admin UIコンソールを使用してアプリケーションを追加する際に、無効な保護対象Webリソースファイルをもとに自己署名証明書を生成する試みが行われた。

    メッセージ:

    • 'value.gateway.info' is not a valid hostname.('value.gateway.info' は有効なホスト名ではありません)

    例:

    • 2020-08-10 15:40:10.938 ERROR 1336 --- [ XNIO-2 task-11] c.okta.oag.web.rest.CertificateResource : 'value.gateway.info' is not a valid hostname.
  • 構造化データ:
    • なし
  • 是正措置:
    • 関連するアプリケーションの保護対象Webリソースの値を確認して再試行します。
  • 保護対象Webリソースの値がない

    説明:Access Gateway Admin UIコンソールを使用してアプリケーションを追加する際に、無効または存在しない保護対象Webリソースファイルをもとに自己署名証明書を生成する試みが行われた。

    メッセージ:

    • No value for relayDomain(relayDomainの値がありません)

    例:

    • 2020-08-10 15:36:49.769 ERROR 1336 --- [ XNIO-2 task-2] c.i.s.web.rest.ExceptionHandlerAdvice : handleExceptions org.springframework.boot.configurationprocessor.json.JSONException: No value for relayDomain
  • 構造化データ:
    • なし
  • 是正措置:
    • 関連するアプリケーションの保護対象Webリソースの値を確認し、エラーがあれば修正して再試行します。
  • 証明書の撤回リストの設定が更新された

    説明:証明書撤回リストに関連付けられている設定が更新された。

    メッセージ:

    • CRL config updated.(CRL設定が更新されました)

    例:

    • 2020-08-10 15:36:49.769 ERROR 1336 --- [ XNIO-2 task-2] c.i.s.web.rest.ExceptionHandlerAdvice : handleExceptions org.springframework.boot.configurationprocessor.json.JSONException: No value for relayDomain
  • 構造化データ:
    • なし
  • 是正措置:
    • なし
  • ログの詳細度

    ログ詳細度が変更された時に生成されるイベント。ログ詳細度の管理 およびログレベルについてをご覧ください。

    ログ詳細度の変更イベント

    説明:管理者が現在のログ詳細度を変更した。このイベントは変更プロセスの開始を伝えます。

    メッセージ:

    • Allow access to resource(リソースへのアクセスを許可してください)

    例:

    • 2020-08-26T21:24:03.678-05:00 oag01.okta.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_3fd5e31193bff51983c9f81c8092cc9f23a1339446" SUBJECT="admin@oag.okta.com" RESOURCE="/api/v1/setting/loglevel" METHOD="PUT" POLICY="api" POLICY_TYPE="PROTECTED" DURATION="0" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="gw-admin.[domain.tld]" RESULT="ALLOW" REASON="N/A - SESSIONID=_3fd5e31193bff51983c9f81c8092cc9f23a1339446 X-Authorization=admin@oag.okta.com username=admin RelayDomain=gw-admin.gateway.info oag_username=admin@oag.okta.com UserName=admin@oag.okta.com SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=192.168.1.84 USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0 creationTime=1598494932480 maxInactiveInterval=3600000 maxActiveInterval=28800000 lastAccessedTime=1598495024962 " REMOTE_IP="192.168.1.84" USER_AGENT="PostmanRuntime/7.26.3"] allow access to resource
  • 構造化データ:
    • SESSION_ID - 有効または無効。
    • RESOURCE - 常にログレベル。
    • METHOD - 常にPUT。
    • POLICY - 常にapi。
    • POLICY_TYPE - 常にprotected。
    • DURATION - 常に0。
    • APP - 常にLocal OAG Admin Console(Local OAG管理者コンソール)。
    • APP_TYPE - 常にADMINUI_APP。
    • APP_DOMAIN - ログ詳細度が変更されたドメイン。
    • RESULT - 常に許可。
    • REASON - 適用外の後にセッション情報が続く。
    • REMOTE_ID - クライアントのIP アドレス。
    • USER_AGENT - 常にPostmanランタイム。
  • 是正措置:
    • なし、情報提供のみ。
  • ログ詳細度の変更を作成し、伝達する(ics_all.logとsys loggerを介して利用可能)

    ログ詳細度の変更について、Access Gateway管理者インスタンスがすべての高可用性ノードを生成して伝達するときに発行されるイベント。

    • Messages:
      application_template_service
      application_template_service event for file_with_path:/opt/oag/events/loglevel.local.UPDATE.json
      application_template_service event for file:loglevel.local.UPDATE.json
      application_template_service Acquiring lock
      application_template_service reading JSON from file '/opt/oag/events/loglevel.local.UPDATE.json'
      application_template_service Local log level set to '[level]' where level represents the new log verbosity level.


    • 2020-08-26T21:24:03.000-05:00 [DNS name of administration node] application_template_service ['/opt/oag/events/loglevel.local.UPDATE.json']
      2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service event for file_with_path:/opt/oag/events/loglevel.local.UPDATE.json
      2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service event for file:loglevel.local.UPDATE.json
      2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service Acquiring lock
      2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service reading JSON from file '/opt/oag/events/loglevel.local.UPDATE.json'
      2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service Local log level set to 'info'
    • 構造化データ:なし
  • 是正措置:
    • なし、情報提供のみ。
  • Syslogがリスタート(ics_all.logおよびsys loggersで利用可能)

    Access Gatewayが問題なく詳細度の変更を送信し、SYSLOGエージェントをリスタートするときに発行されるイベント。

    • メッセージ: Restart and restart complete.(リスタートおよびリスタート完了)

    • 2020-08-26T21:24:04.000-05:00 [DNS name of HA node] OAG syslog-ng: Access-Gateway SYSLOG-NG restart
      2020-08-26T21:24:04.000-05:00 oag01.okta.com OAG syslog-ng: Access-Gateway SYSLOG-NG restart completed
    • 構造化データ:なし
  • 是正措置:
    • なし、情報提供のみ。
  • 詳細度アップデートが完了(ics_all.logおよびsys loggerを介して利用可能)

    Access Gatewayが詳細度ログの変更を完了した時に発行されるイベント

    • メッセージ: Application_template_service loglevel event:update template...

    • 2020-08-26T21:24:04.000-05:00 [DNS name of administration node] application_template_service loglevel event:update template for file:loglevel.local.UPDATE.json
    • 構造化データ:なし
  • 是正措置:
    • なし、情報提供のみ。
  • パスワード

    パスワードを変更するときにログに記録されるイベント。

    パスワードをリセットする

    説明:パスワードが問題なく変更された。

    メッセージ:

    • Password reset successful(パスワードのリセットに成功)

    例:

    • 2021-02-23T12:55:29.267-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE INFO PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] Password reset

    構造化データ:

    • USER - 指定アクションを実行するユーザー、常にoag-mgmt
    • USERNAME - 常にoag-mgmt

    是正措置:

    • 該当なし

    リセットに失敗

    説明:パスワード変更の試みが失敗。

    メッセージ:

    • Password reset failed.(パスワードのリセットに失敗しました)
    • Password reset failed.(パスワードのリセットに失敗しました)Password did not meet minimum requirement(パスワードの最小要件を満たしていません)

    例:

    • 2021-02-22T19:33:51.702-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] Password reset failed

    構造化データ:

    • USER - 指定アクションを実行するユーザー、常にoag-mgmt
    • USERNAME - 常にoag-mgmt

    是正措置:

    • パスワードが要件を満たしていない場合は、再試行します。

    無効なパスワードが入力された

    説明:ログインに失敗。入力されたパスワードが間違っている。

    メッセージ:

    • Incorrect password entered(入力されたパスワードが間違っています)

    例:

    • 2021-02-22T19:33:19.903-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] Incorrect password entered

    構造化データ:

    • USER - 指定アクションを実行するユーザー、常にoag-mgmt
    • USERNAME - 常にoag-mgmt

    是正措置:

    • パスワードを再入力、再試行します。

    サポートVPN

    サポートVPNを有効または無効にするときにログに記録されるイベント。

    サポート接続を有効にする

    説明:サポート接続が有効化された

    メッセージ:

    • Enabling support connection(サポート接続を有効化)

    例:

    • 2021-02-23T12:55:29.267-06:00 OAG ADMIN_CONSOLE SUPPORT_CONNECTION ENABLE INFO ENABLE_SUPPORT_CONNECTION [USER="oag-mgmt"] Enabling support connection

    構成データ:

    • USER - サポート接続の有効化をリクエストするユーザー

    是正措置:

    • 該当なし

    サポート接続を無効にする

    説明:サポート接続が無効化された

    メッセージ:

    • Disabling support connection(サポート接続を無効化)

    例:

    • 2021-02-23T12:55:29.267-06:00 OAG ADMIN_CONSOLE SUPPORT_CONNECTION DISABLE INFO ENABLE_SUPPORT_CONNECTION [USER="oag-mgmt"] Disabling support connection

    構成データ:

    • USER - サポート接続の無効化をリクエストするユーザー

    是正措置:

    • 該当なし

    サポート接続操作を有効/無効にする際にエラーが発生

    説明:操作を有効または無効にする際にエラーが発生した。

    メッセージ:

    • Exception when checking connection status on the system:(システムの接続ステータスを確認する際に例外が発生)

    例:

    • 2021-02-23T12:55:29.267-06:00 OAG ADMIN_CONSOLE SUPPORT CONNECTION CHECK STATUS ERROR [USER="oag-mgmt"] Exception when checking connection status on the system: <exception content>

    構造化データ:

    • USER - サポート接続操作をリクエストするユーザー。
    • 例外の内容 - エラーについての追加情報

    是正措置

    • 該当なし

    システムステータス

    CONFIG_TEST

    NGINXが構成チェックを問題なく完了した時に発行されるイベント。

    • メッセージ:nginx: The configuration file /tmp/nginx/nginx.conf syntax is ok. nginx: configuration file /tmp/nginx/nginx.conf test is successful.

    • 2020-06-24T05:40:25.786-05:00 example.myaccessgateway.com OAG_MONITOR MONITOR NGINX INFO CONFIG_TEST [STATUS="VALID" UUID="<ID>"] nginx: the configuration file /tmp/nginx/nginx.conf syntax is ok nginx: configuration file /tmp/nginx/nginx.conf test is successful.

    • 構造化データ:
      • STATUS - VALIDまたはINVALID。
      • UUID - 構成のUUID 。

    SYSTEM_STARTUP

    システムのスタートが完了した時に発行されるイベント。

    • メッセージ:Startup complete, system ready.(スタートアップ完了、システム準備完了)

    • 2020-06-24T10:05:56.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP [] Startup complete, system ready.
    • 構造化データ:なし

    SHUTDOWN

    システムシャットダウンが開始した時に発行されるイベント。

    • メッセージ:Shutting down system.(システムをシャットダウンしています)

    • O2020-06-24T08:31:25.729-05:00 example.myaccessgateway.com OAG ADMIN_CONSOLE SYSTEM SHUTDOWN INFO SHUTDOWN [USER="oag-mgmt"] Shutting down system.
    • 構造化データ:
      • USER - 操作を実行したユーザー。

    SYSTEM_IDP_STATUS

    Access Gatewayと構成済みIDプロバイダーとの接続が成功した時に発行されるイベント。
    Access Gatewayと構成済みIDプロバイダーとの接続に失敗した時に発行されるイベント。
    Access Gateway APIトークンが無効であるか有効期限切れの場合に発行されるイベント。

    • メッセージ
      Success confirming IDP status with: org.okta[preview].com.(右記のIDPステータスの確認に成功:org.okta[preview].com)
      Failure confirming connectivity with IDP: <IDP URL>>.(「IDP:IDP URL」との接続の確認に失敗)Please verify your network configuration.(ネットワークの構成を確認してください)
      Failure validating security token with IDP: <IDP Domain>.(「IDP:IDP Domain」のセキュリティトークンの検証に失敗)Please validate token exists and is enabled.(トークンが存在し、有効になっていることを確認してください)
    • (成功):
      2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="MyIDP" DOMAIN="someorg.oktapreview.com" TYPE="IDP_OKTA" RESULT="PASS" REASON="VALID"] Success confirming IDP status with: someorg.oktapreview.com.
    • :ネットワーク接続エラー
      2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="<IDP Name> IDP" DOMAIN="<IDP URL>" TYPE="<Identity Provider type>" RESULT="FAIL" REASON="INVALID_NETWORK_CONN"] Failure confirming connectivity with IDP: <IDP URL>>. Please verify your network configuration.
    • : 無効なAPIトークン
      2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="<IDP Name> IDP" DOMAIN="<IDP URL>" TYPE="<Identity Provider type>" RESULT="FAIL" REASON="INVALID_NETWORK_CONN"] Failure validating security token with IDP: <IDP Domain>. Please validate token exists and is enabled.
    • 構造化データ:
      • NAME - IDPの名前
      • DOMAIN - 関連付けられたドメイン
      • TYPE - IDPのタイプ。IDP_OKTA またはLOCAL
      • RESULT - PASSまたはFAIL
      • REASON - 有効または失敗の理由

    SYSTEM_STARTUP

    Access Gatewayが問題なく開始した時に発行されるイベント。

    • メッセージ:Startup complete, system ready.(スタートアップ完了、システム準備完了)

    • 22020-06-24T09:40:52.000-05:00 ec2-18-209-113-130.compute-1.amazonaws.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP [] Startup complete, system ready.
    • 構造化データ:なし

    信頼できるドメイン

    SYSTEM_TD_EVENT

    • メッセージ
      source_app_guid: "<guid>", source_app_name="<name of source app>",source_app_domain: "<source domain of application>".
      exception 'exception data' occurred.

    • イベント発行時:
      2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS - INFO SYSTEM_TD_EVENT [ SOURCE="APP" ACTION="UPDATE" ] source_app_guid: "61602a9d. . . ", source_app_name="Wikipedia SSO App", source_app_domain: "www.wikipedia.com"

      エラー発生時:
      2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS ALERT SYSTEM_TD_EVENT [ SOURCE="APP" ACTION="UPDATE" ] Exception when disable/enable trusted domains: [Errno 13] Permission denied: '/opt/oag/events/trusteddomains.DISABLE.json'.

      イベントがOktaテナントと同期された時:
      2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS - INFO SYSTEM_TD_EVENT [ SOURCE="OKTA_TRUSTED_ORIGIN" ACTION="SYNC" ]
    • 構造化データ:
      • SOURCE - APPまたはOKTA_TRUSTED_ORIGIN
      • ACTION -CREATE、UPDATE、DELETE、SYNCHのうち1つ。信頼できるドメインが追加、更新、削除、または同期されたことを示す。

      メモ:重大度はALERTINFO、またはWARNのいずれかです。

    Kerberos

    SYSTEM_KRB5_EVENT

    作成、更新、削除、アクティベート、非アクティベートなどの操作がKerberos領域で実行された時に発行されるイベント。

    • メッセ―ジ Kerberos Realm:<Kerberos Realm> action: CREATE.(Kerberos Realm:<Kerberos領域>アクション:CREATE.)
      Kerberos Realm: <Kerberos Realm> action: UPDATE
      Kerberos Realm: <Kerberos Realm> action: DELETE(Kerberos Realm:<Kerberos領域>アクション:DELETE)

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="CREATE" SESSION_ID="<Session ID>" SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'CREATE'

      2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="UPDATE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'UPDATE'

      O2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="DELETE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'DELETE'

    • 構造化データ
      • REALM - 関連するKerberos領域
      • REASON - CREATE、UPDATE、またはDELETE
      • SESSION_ID - 関連するローカルセッションID
      • SUBJECT - 操作を実行するユーザー。通常は管理者
      • REMOTE_IP- リモートIPが利用可能。
      • USER_AGENT - リモートオペレーティングシステム、ブラウザーなど

    認証と許可

    USER_LOGIN

    ユーザーがログインを試行した時に発行されるイベント。成功または失敗の場合のイベントを参照。

    • メッセージ:User login success: user.(ユーザーログイン成功:ユーザー)
      User login failed: [user]
      Received an assertion that has expired.(ユーザーログイン失敗:[ユーザー])期限切れのアサーション受け取り)Check clock synchronization on IDP and SP.(IDPとSPの時計の同期を確認)

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE AUTHN LOCAL INFO USER_LOGIN [SESSION_ID="<Session ID>" SUBJECT="<User login name>" TYPE="LOCAL" RESULT="PASS" REASON="VALID_CREDENTIALS" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"] User login success: user@<domain.tld>

      2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE AUTHN LOCAL INFO USER_LOGIN [SESSION_ID="<Session ID> " SUBJECT="<User login name>" TYPE="LOCAL" RESULT="FAIL" REASON="INVALID_CREDENTIALS" REMOTE_IP="-" USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"] User login failed: user@<domain.tld>

      2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SAML INFO USER_AUTHN [SESSION_ID="<Session ID> " SESSION_AUTH="<Session AUTH Information> " SUBJECT="<User login name>" TYPE="SAML_2_0" SOURCE="IDP Source URL" SOURCE_TYPE="<Identity Provider type>" SOURCE_DOMAIN="<IDP URL>" SOURCE_AUTHN_TYPE="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" APP="Sample Header App" APP_DOMAIN="<App Domain URL>" RESULT="PASS" REASON="Valid SAML Assertion" REMOTE_IP="192.168.10.20" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] User login:user@<domain.tld>

      2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="<Tracking ID>" SOURCE="https://<IDP URL>/app/template_saml_2_0/exkckwwaxvY3crKhn0h7/sso/saml" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="192.168.10.192" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.62 Safari/537.36"] Received an assertion that has expired. Check clock synchronization on IdP and SP.

    • 構造化データ
      • SESSION_ID - LOCAL。
      • SUBJECT - メールアドレスなどの操作実行者のID。
      • TYPE - SAMLまたは関与する認証モジュール。
      • RESULT - PASS またはFAIL。
      • REASON - 有効な資格情報または失敗の理由。
      • REMOTE_IP- リモートIPが利用可能。
      • USER_AGENT - リモートオペレーティングシステム、ブラウザーなど。

    USER_SESSION

    セッションのリクエストが発行された時に発行されるイベント。

    • メッセージ:No session cookie. Sending to handler.(セッションCookieがありません。ハンドラーに送信しています。)
      Upgraded auth cookie. App session created.(認証cookieをアップグレードしました。アプリセッションが作成されました。)
      This should be investigated by your security group.(セキュリティグループによる調査が必要です)

    • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION INFO USER_SESSION [SESSION_ID="<Session ID>" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="<Application Domain>" RESULT="DENY" REASON="NOT_EXIST" REMOTE_IP="10.63.182.118" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36"] No session cookie. Sending to handler.

      2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION INFO USER_SESSION [SESSION_ID="<Session ID>" SESSION_AUTH="<Session Auth ID>" SESSION_APP="e701ddf534554eab8ea671e884438b99" SUBJECT="<User login name>" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="ALLOW" REASON="VALID_AUTHCOOKIE" REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Upgraded auth cookie. App session created.

      2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION WARN USER_SESSION [SESSION_ID="<Session ID>" SESSION_AUTH="<Session Auth ID>" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="DENY" REASON="INVALID_AUTHCOOKIE" REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] This should be investigated by your security group.

    • 構造化データ
      • SESSION_ID - セッションが存在する場合は割り当てられたセッションID。
      • APP - アプリケーション名。
      • APP_TYPE - 使用されていたアプリケーションセッション。
      • APP_DOMAIN - 関連するアプリケーションドメイン。
      • RESULT- ALLOW またはDENY
      • REASON - リクエストが承認または拒否された理由。
      • REMOTE_IP - ユーザーがログインを試みたリモートIP。
      • USER_AGENT - リモートオペレーティングシステム、ブラウザーなど。

    USER_LOGOUT

    ユーザーがログアウトした時に発行されるイベント。

    • メッセージ:User logout success: user@<Application Domain>.(ユーザーログアウト成功:user@<アプリケーションのドメイン>)

    • 2020-06-04T13:53:59.986-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SESSION INFO USER_LOGOUT [SESSION_ID="<Session ID> " SUBJECT="user@<Application Domain.tld>" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="<Application Domain>"" RESULT="PASS" REASON="VALID_SESSION" REMOTE_IP="10.63.182.118" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36"] User logout success: user@<Application Domain.tld>.
    • 構造化データ
      • SESSION_ID - 割り当てられたセッションID。
      • APP - アプリケーション名。
      • APP_TYPE - 使用されていたアプリケーションセッション。例えばADMINUI_APPなど。
      • APP_DOMAIN - 関連するアプリケーションドメイン。
      • RESULT- ALLOW またはDENY
      • REASON - リクエストが承認または拒否された理由。
      • REMOTE_IP - ユーザーがログインを試みたリモートIP。
      • USER_AGENT - リモートオペレーティングシステム、ブラウザーなど。

    POLICY

    ユーザーがリソースへのアクセスを試みた時に発行されるイベント。

    • メッセージ:Allow access to resource.(リソースへのアクセスを許可してください)
      Deny access to resource.(リソースへのアクセスを拒否)

    • 2020-06-24T09:40:55.667-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_8832d5961146a7d69baafe864b05eac3d5e3bb72bb" SUBJECT="admin@<Domain.tld>" RESOURCE="/" METHOD="GET" POLICY="root" POLICY_TYPE="PROTECTED" DURATION="0" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="gw-admin.saganich.com" RESULT="ALLOW" REASON="N/A - SESSIONID=_8832d5961146a7d69baafe864b05eac3d5e3bb72bb X-Authorization=admin@oag.okta.com username=admin X-SPGW-KEY=5b626d19e16f4d18ac42ef5d9cc8654a RelayDomain=gw-admin.domain.tld oag_username=admin@domain.tld UserName=admin@<Domain.tld >SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=10.0.0.110 USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "] allow access to resource.

      2020-06-24T09:40:55.667-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_4a3fdbbc52dadda2109e0e789098f9b473d4f68c7e" SUBJECT="user@<Domain.tld>" RESOURCE="/alt" METHOD="GET" POLICY="altroot" POLICY_TYPE="PROTECTED_REGEX" DURATION="0" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="DENY" REASON="Groups=(?!.*Everyone:) - SESSIONID=_4a3fdbbc52dadda2109e0e789098f9b473d4f68c7e RelayDomain=<App Domain URL> static_a=aaaaa static-b=bbbbb staticc=ccccc _staticd=ddddd -statice=eeeee staticcookie=1234 secret=secretvalue spgw_username=<User login name> UserName=<User login name> login=<User login name> firstname=<User first name> lastname=<User last name> email=<User login name> samplecookie<User first name> Groups=Everyone:Group A:Group C:Group E:Group B: SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=192.168.10.20 USER_AGENT=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 creationTime=1507265129865 maxInactiveInterval=3600000 maxActiveInterval=28800000 lastAccessedTime=1507265129865 " REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] deny access to resource
    • 構造化データ
      • SESSION_ID - 割り当てられたセッションID。
      • SUBJECT - リクエスター。
      • RESOURCE- リクエストされたリソース。
      • METHOD - リクエストメソッド。
      • POLICY - 適用されるポリシー。
      • POLICY_TYPE - ポリシータイプのうち1つ。
      • DURATION - リクエストの期間。
      • APP - アプリケーション名。
      • APP_TYPE - 使用されていたアプリケーションセッション。例えばADMINUI_APPなど。
      • APP_DOMAIN - 関連するアプリケーションドメイン。
      • RESULT- ALLOW またはDENY
      • REASON - リクエストが承認または拒否された理由。他の様々なポリシー関連の情報が含まれる。

    接続性および検証

    CHECK_CONNECTION

    アプリケーションが追加される時に発行されるイベント。<アプリケーションドメイン>が有効または無効か判断するためにテストされます。

    もあわせて参照してください。

    • メッセージ:Host <Application Domain> not found.(ホスト<アプリケーションのドメイン>が見つかりません)

    • 2020-06-24T09:41:16.766-05:00 example.myaccessgateway.com CHECK_HOST HOST_IP_CHECK INFO HOST [USER="admin" <Application Domain>] Host <Application Domain> not found
    • 構造化データ
      • USER - 検査を実行する内部ユーザー。
      • アプリケーションで使用されるアプリケーションドメイン。

    CHECK_HOST

    接続の確認が実行された直後に発行されるイベント。 確認の結果がメッセージに表示されます。

    • メッセージ:Ncat: Connection refused.(Ncat: 接続が拒否されました)

    • 2020-06-24T09:45:28.024-05:00 example.myaccessgateway.com CHECK_HOST checkConnection.sh INFO 10.0.0.1 7001 [USER="admin"] Ncat: Connection refused.
    • 構造化データ
      • USER - コマンドを実行する内部ユーザー。

    ACCESS AUTHN - - STORE

    接続の確認が実行された直後に発行されるイベント。 確認の結果がメッセージに表示されます。

    • メッセージ:Store failed during initialization.(初期化中にストアのエラーが発生しました)

    • 22020-06-25T14:18:52.458-05: example.store.com ACCESS_GATEWAY ACCESS AUTHN FAILED WARN STORE [STORE_NAME="Name of datastore - Entry DN" FAILURE_COUNT="3"] Store failed during initialization.
    • 構造化データ
      • STORE_NAME - 初期化に失敗したデータストアの名前
      • FAILURE_COUNT - ストアへのアクセス試行回数