セッションログを管理する
SSHまたはRDPセッションの終了後、Okta Privileged Accessゲートウェイはセッションログを暗号化して格納します。ログは、Okta Privileged Accessクライアントを使ってエクスポート、復号、検証、レビューできます。Okta Privileged Accessは、セッションログが攻撃者によって改ざんされていないことをクライアントを使って確認します。セッションログの管理は、sft session-logsを使って行うことができます。「Okta Privileged Accessクライアントを使用する」を参照してください。
はじめに
- Okta Privileged Accessクライアントをインストールして登録します。「Okta Privileged Accessクライアントをインストールする」を参照してください。
- ログファイルをOkta Privileged Accessクライアントがアクセスできる場所に移動します。
- クライアントがセッションログにアクセスできるように、読み取り権限を変更します。Linuxでは、chmodコマンドを使用します。
- RDPセッションログをレビューするには、RDP Transcoderをインストールする必要があります。
SSHセッションログをレビューする
エクスポートされたセッションログは、一般的なasciinemaツールを使って再生できます。Oktaにはこのプログラムはありませんが、セッションログはasciinemaで読み取れる形式で簡単にエクスポートできます。次のコマンドは、セッションログのレビュー方法を示す簡単な例です。詳しくは、asciinemaのドキュメントを参照してください。
- ターミナルウィンドウを開いて次のコマンドを実行し、セッションログをasciinema形式でエクスポートします。
sft session-logs export --format asciinema yourSessionLog.asa --output exportedSession.cast
- 次のコマンドを実行し、エクスポートしたログを再生します。
asciinema play exportedSession.cast
- 任意。次のコマンドを実行し、エクスポートしたログをstdoutに出力します。
asciinema cat exportedSession.cast
RDPセッションログをレビューする
RDPセッションが記録され、Okta Privileged Accessゲートウェイに保存された後、バイナリ.asa形式を.mkvビデオ形式に変換できます。
- ターミナルウィンドウを開いて次のコマンドを実行し、セッションログを.mkvビデオ形式でエクスポートします。より高度な構文を使用する場合は、「Okta Privileged Accessクライアントを使用する」を参照してください。
sft session-logs export /path/source-file.asa --format mkv --output /path
- .mkvファイルのエクスポート先に移動し、GUIビデオプレーヤーを使って記録を再生します。
セッションログをデコードする
次のコマンドを使用して、Base64エンコードされた未加工のデータを復号します。デフォルトでは、ログの復号時には受信と送信の両方の文字が返されます。
sft session-logs export yourSessionLog.asa | jq -r '.frames[] | .logRequest.io.data' | base64 -d
よりクリーンな出力を得るには、次のコマンドを使って送信文字のみを復号します。
sft session-logs export yourSessionLog.asa | jq -r '.frames[] | select (.logRequest.io.direction == "OUTGOING") | .logRequest.io.data' | base64 -d