システムログのフィルターと検索
システムログでは、さまざまなパラメーターや演算子を使用してイベントをフィルタリングできます。デフォルトでは、過去7日間のすべてのイベントがフィルタリングされて表示されます。
フィルター
システムログのイベントは次の条件でフィルタリングできます。
-
日付範囲表示するイベントをフィルタリングする範囲の開始時刻と終了時刻を指定します。
注:Oktaでのイベントの保持期間は90日間です。これより長い範囲を指定すると、エラーが発生します。
-
タイムゾーン:ドロップダウンボックスを使用して、システムログのイベントを表示するタイムゾーンを選択します。
-
IPアドレス:システムログのイベントを表示するときに、スーパー管理者やorg管理者は特定のIPアドレスのすべてのイベントを表示することがあります。
-
イベント([Events)]テーブルでイベントの右矢印をクリックすると、そのイベントに関するアクター、クライアント、イベント、リクエスト、ターゲットの情報が表示されます。
-
次のいずれかを展開します。
- クライアント(Client)
-
-
IPアドレスにカーソルを合わせると、フィルターアイコンが表示されます。
-
フィルター(Filter)アイコンをクリックすると、イベントのリストが並べ替えられます。
-
カスタムフィルターをクリアしてデフォルトのフィルターに戻すには、フィルターをリセット(Reset Filters)をクリックします。
イベントの検索
サポートされている演算子を使用して、イベントの基本検索または詳細検索を実行できます。検索を保存してイベント情報をすばやく取得することもできます。
基本検索
-
開始、終了、タイムゾーンのフィールドを使用して時間範囲を指定します。
-
すべてのイベントを検索する文字列を入力します。
-
Enterキーを押すか、検索(Search)アイコンをクリックします。
次の表に、よく使用されるカスタムクエリをいくつか示します。
| ユースケース | クエリ |
|---|---|
| ユーザーのパスワードのリセット | eventType eq "user.account.reset_password" |
| レート制限エラーの特定 | displayMessage eq "Rate limit violation" |
| アプリケーションの割り当て | application.user_membership.add |
| アプリケーションへのアクセス | eventType eq "user.authentication.sso" |
| ユーザーの作成 | user.lifecycle.create |
| ユーザーのロックアウト | user.account.lock |
| セルフサービスによるロック解除 | self_service.account_unlock |
|
サインインの成功 |
user.authentication.sso |
|
疑わしいアクティビティ |
outcome.reason eq "Authentication failed: bad username or password" |
詳細検索
-
高度なフィルター(Advanced Filters)をクリックします。
-
選択条件を入力します。
-
フィルターを適用(Apply Filter)をクリックします。
現在、システムログでは以下の演算子をサポートしています。
-
equals -
contains -
starts with -
ends with -
not equal -
is present -
greater than -
greater than or equal to -
less than -
less than or equal to
次を含む([Contains)]演算子では、次のフィールドはサポートされません。
-
debugContext.debugData.url -
debugContext.debugData.requestUri
演算子の詳細については、演算子を参照してください。
検索の保存
検索を保存して再利用できます。保存した検索について、再利用、変更、削除が可能です。
-
システムログの検索を実行した後、保存(Save)をクリックします。
-
カスタマイズした検索の名前を入力します。
-
新規に保存(Save as new)をクリックします。カスタマイズした検索がレポート(Reports)ページに表示されます。