Access Gateway監査ログ

Access Gateway監査ログには、以下のイベントに関する情報が含まれます。

  • 管理者の指名:管理者の再指名プロセス中に発生するイベントです。
  • アプリケーション:アプリケーション関連のアクティビティ(作成・更新・削除アクティブ化・非アクティブ化など)です。
  • 認証および権限付与:認証や権限付与などのイベントです。
  • 証明書イベント:証明書関連イベントのアクティビティです。
  • 接続姓と検証Access Gatewayと外部リソース(バックエンドアプリケーション、データストアなど)の間のイベントです。
  • Kerberos:Kerberos関連のアクティビティ(作成、アップデート、削除など)です。
  • ログの詳細度:ログの詳細度の変化です。
  • パスワード:パスワード関連のイベントです。
  • システムステータス:システム関連のイベント(システムの起動、システムダウン、IDプロバイダー接続ステータス、EBSサブシステムの起動など)です。
  • 信頼できるドメイン:信頼できるドメイン関連のアクティビティ(作成・更新・削除・同期)と信頼できるドメインの操作中に発生する例外です。

開始する前に

イベントフィールド

フィールド

説明

タイムスタンプ

現在のシステムの日付と時間

ホスト名

ノード生成イベントのホスト名

アプリケーション

以下のいずれか:

  • ACCESS_GATEWAY
  • OAG
  • OAG_MONITOR
  • 特定のサービス(例:check_connection)

サブプロセス

以下のいずれか:

  • ApplicationService
  • アクセス
  • ADMIN_CONSOLE
  • EBS_SSOAGENT
  • HOST_IP_CHECK
  • モニタリング
  • スクリプト
  • サービス
  • TrustedOriginUpdateScheduler
  • WEB_CONSOLE
  • 特定のサービス(例:check_connection)

コンポーネント

以下のようなsub-processのコンポーネント

  • AUTHN
  • AUTHZ
  • クラスターマネージャー管理
  • エラー
  • IDP
  • INFO
  • KRB5
  • LOG_DOWNLOAD_STATUS
  • LOG_PREPARE_OPERATION
  • LOG_PREPARE_STATUS
  • NGINX
  • システム
  • TRUSTED_DOMAINS

サブコンポーネント

以下のようなプロセスのSub-component

  • アラート
  • EBS_SSOAGENT
  • ホスト
  • INFO
  • ローカル
  • NETCAT
  • 指名
  • ポリシー
  • セッション
  • 起動/シャットダウン

LOG_LEVEL

以下のいずれかのログレベル:TRACE、DEBUG、INFO、WARN、ERROR、またはFATAL.

イベント

イベントタイプ

STRUCTURED_DATA

発生したイベントに関連するデータ

メッセージ

参照可能なメッセージです。

管理者の指名

管理者の再指名が行われたときにログ記録されるイベントです。

指名 - 開始

説明:管理者ノードで指名が開始されたときに発生するイベントです。

メッセージ:

  • OAG Version - 2020.8.3, Cluster Manager Version - 2020.1.5.20200803.174755

    Starting authorized nomination process

  • OAG Version - 2020.6.3, Cluster Manager Version - 2020.1.5.20200803.174755
  • Sent nomination.authKey to admin node - existingadmin[.domain.tld]

例:

  • 2020-08-05T18:40:23.711-07:00 nodeB OAG ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Mgmt console Event [USER="oag-mgmt"] OAG Version - 2020.6.3, Cluster Manager Version - 2020.1.5.20200803.174755
  • 2020-08-05T18:40:23.711-07:00 nodeB OAG ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Mgmt console Event [USER="oag-mgmt"] Starting authorized nomination process - OAG Version - 2020.6.3, Cluster Manager Version - 2020.1.5.20200803.174755
  • 2020-08-05T18:40:23.905-07:00 nodeB ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send auth key to admin node [USER="oag-mgmt"] Sent nomination.authKey to admin node - existingadmin[.domain.tld]

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー

是正措置:

  • 該当なし

指定 - 開始されました

説明:管理者ノードで指名が開始したときに発生するイベントです。

メッセージ:

  • Started nomination process with args: adminNode - [DNS name of existing admin ],

    nominatedNode - [DNS name of nominated worker],

    accessGatewayHostname - gw-admin.[domain.tld]

例:

  • 2020-08-04T14:28:48.376-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Arguments [USER="root"] Started nomination process with args: adminNode - oag.nodeA.com,nominatedNode - oag.nodeC.com, accessGatewayHostname - gw-admin.[domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - ワーカーノードのバージョンが不正

説明:1つ以上のノードが必要な機能バージョンではありません。

メッセージ:

  • Incompatible node list - [worker.[domain.tld]...] Update worker nodes to version - 2020.8.3 or higher

例:

  • 2020-08-04T14:28:48.380-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Determine Version Compatibility [USER="root"] Incompatible Node List - oag.nodeB.com,oag.nodeD.com. Update worker nodes to version - 2020.8.3 or higher

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 特定されたワーカーノードをバージョン2020.8.3以降に更新してから、指名プロセスを再度実行します。

指名 - 指名されたワーカーがクラスターから分離

説明:指名されたワーカーが新しい管理者ノードになる前にクラスターから分離されたときに発生するイベントです。

メッセージ:

  • Removed nominated admin node - existingadmin[.domain.tld] from HA configuration files
  • Failed to remove nominated admin node - existingadmin[.domain.tld] from HA configuration files.

例:

  • 2020-08-04T14:28:48.380-05:00 existingadmin.[.domain.tld] ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Remove nominated node from HA [USER="root"] Removed nominated admin node - name[.domain.tld] from HA configuration files.
  • 2020-08-04T14:28:48.380-05:00 existingadmin.[domain.tld] ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Remove nominated node from HA [USER="root"] Failed to remove nominated admin node - name[.domain.tld] from HA configuration files.

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • アクションは不要:操作が失敗すると、管理者ノードが元の状態に戻ります。指名されたノードも、再指名前の状態に戻ります。

指名 - 指名ノードが複製されました

説明:現在の構成が指名されたワーカーに転送されたときに発生するイベントです。

メッセージ:

  • Transferred HA configuration files from current admin node - worker[.domain.tld].
  • Failed to transfer HA configuration files from current admin node - worker[.domain.tld].

例:

  • 2020-08-04T14:27:42.345-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Copy HA configs [USER="root"] Transferred HA configuration files from current admin node - worker[.domain.tld].
  • 2020-08-04T14:27:42.345-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Copy HA configs [USER="root"] Failed to transfer HA configuration files from current admin node - worker[.domain.tld].

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー

是正措置:

  • アクションは不要:プロセスが失敗すると、指名されたワーカーノードが元の状態に戻ります。

指名 - キー交換

説明:既存の管理者と指名された管理者の間で必要なキーを交換するときに発生するイベントです。

メッセージ:

  • Backup of ssh keys completed for nominated node - newadmin.[domain.tld]

例:

  • 2020-08-04T14:27:42.362-05:00 newadmin[.domain.tld] ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Backup SSH Keys [USER="root"] Backup of ssh keys completed for nominated node - worker.[domain.tld]

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー

指名 - キー交換

説明:管理者とワーカーの間で必要なキーを同期するときに発生するイベントです。

メッセージ:

  • Synced known_hosts and authorized_keys of current admin node - worker[.domain.tld] with all worker nodes
  • Failed to sync known_hosts and authorized_keys of current admin node - oag.nodeA.com with all worker nodes

例:

  • 2020-08-04T14:27:43.823-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Sync keys [USER="root"] Synced known_hosts and authorized_keys of current admin node - worker[.domain.tld] with all worker nodes
  • 2020-08-04T14:27:43.823-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Sync keys [USER="root"] Failed to sync known_hosts and authorized_keys of current admin node - worker[.domain.tld] with all worker nodes

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • アクションは不要:操作が失敗すると、指名されたワーカーノードが元の状態に戻ります。

指名 - ワーカーの高可用性構成を更新する

説明:指名された管理者とワーカーの間で高可用性構成を交換するときに発生するイベントです。

メッセージ:

  • Prepared HA config file - /tmp/nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json for worker node - workerX[.domain.tld]
  • Sent nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json file to worker node - workerX[.domain.tld]
  • Prepared HA config file - /tmp/nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json for worker node - workerX.[domain.tld]
  • Sent nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json file to worker node - workerX.[.domain.tld]

例:

  • 2020-08-04T14:27:43.883-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Prep HA config for worker node [USER="root"] Prepared HA config file - /tmp/nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json for worker node - workerX[.domain.tld]
  • 2020-08-04T14:27:44.086-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send HA config to worker node [USER="root"] Sent nolock.update_ha_configs.f76c8aea-073b-4241-8960-536fb26573d5.json file to worker node - workerX[.domain.tld].
  • 2020-08-04T14:27:44.107-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Prep HA config for worker node [USER="root"] Prepared HA config file - /tmp/nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json for worker node - workerX[.domain.tld]
  • 2020-08-04T14:27:44.307-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send HA config to worker node [USER="root"] Sent nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json file to worker node - workerX[.domain.tld].
  • 2020-08-04T14:27:44.307-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Send HA config to worker node [USER="root"] Failed to send nolock.update_ha_configs.01880ce6-6ac3-4dd9-ac14-934a301490f3.json file to worker node - workerX[.domain.tld].

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • アクションは不要:操作が失敗すると、指名されたワーカーノードと影響を受けるワーカーノードが元の状態に戻ります。

指名 - ワーカーの高可用性構成を更新する

説明:ワーカーが新しい高可用性構成の受け取りを確認するときに発生するイベントです。

メッセージ:

  • Received - 0/2 acknowledgements so far
  • eceived acknowledgment for Worker node - workerX[.domain.tld] with updated Admin Node - newadmin[.domain.tld]
  • Received - 2/2 acknowledgements so far
  • Newly nominated admin node - newadmin[.domain.tld] has been acknowledged by all worker nodes
  • Received acknowledgment 1/2 acknowledgements so far

例:

  • 2020-08-04T14:27:44.346-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received - 0/2 acknowledgements so far
  • 8-04T14:27:54.383-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received acknowledgment for Worker node - workerX.[domain.tld] with updated Admin Node - newadmin[.domain.tld]
  • 2020-08-04T14:27:54.428-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received - 2/2 acknowledgements so far
  • 2020-08-04T14:28:04.448-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Newly nominated admin node - oag.nodeC.com has been acknowledged by all worker nodes
  • 2020-08-04T14:28:04.448-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Received acknowledgment [USER="root"] Received acknowledgment 1/2 acknowledgements so far

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー

是正措置:

  • 特定のワーカーが確認を返さない場合は、サポートまでご連絡ください。

指名 - 既存の管理者をスタンドアロンに戻す

説明:既存の管理者がスタンドアロンノードになったときに、再指名の完了時に生成されるイベントです。

メッセージ:

  • Reset HA configs of older admin node - oldadmin[.domain.tld]

例:

  • 2020-08-04T14:28:04.806-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Reset admin node HA setup [USER="root"] Reset HA configs of older admin node - oag.nodeA.com

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - リセットの確認

説明:既存の管理者がスタンドアロンにリセットされたことを確認するために生成されるイベントです。

メッセージ:

  • Admin nomination process completed successfully for new admin node - existingadmin[.domain.tld].
  • Reset HA configs for admin node - existingadmin[.domain.tld]

例:

  • 2020-08-04T14:28:04.818-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Nomination completed [USER="root"] Admin nomination process completed successfully for new admin node - oldamin[.domain.tld].
  • 2020-08-04T14:28:04.818-05:00 oag.nodeC.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Nomination completed [USER="root"] Admin nomination process completed successfully for new admin node - oldamin[.domain.tld].

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - 不正な認可コード

説明:管理者ユーザーが再指名の認可コードを正しく(誤って)入力したときに発生するイベントです。

メッセージ:

  • Authorization token is correct
  • Authorization token is incorrect
  • Initiating nomination process on Nominated node - newadmin[.domain.tld].
  • Sent nolock.start_admin_nomination.json to nominated node - oag.nodeC.com

例:

  • 2020-08-06T12:15:23.136-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Auth Token Verification [USER="oag-mgmt"] Authorization token is correct
  • 2020-08-06T12:13:49.224-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION ERROR Auth Token Verification [USER="oag-mgmt"] Authorization token is incorrect
  • 2020-08-06T12:15:23.148-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Initiate nomination [USER="oag-mgmt"] Initiating nomination process on Nominated node - newadmin[.domain.tld].
  • 2020-08-06T12:15:23.423-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER ADMIN NOMINATION INFO Initiate nomination [USER="oag-mgmt"] Sent nolock.start_admin_nomination.json to nominated node - oag.nodeC.com

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー

是正措置:

  • 正しいコードを再入力します。

指名 - 既存の管理者がメンテナンスモードに移行

説明:既存の管理者がメンテナンスモードに入ったときに発生するイベントです。

メッセージ:

  • Started Admin Node Nomination App on admin node - existingadmin.[domain.tld]

例:

  • 2020-08-06T13:06:41.872-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Started Admin Node Nomination App [USER="oagha"] Started Admin Node Nomination App on admin node - existingadmin[.domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - 既存の管理者がメンテナンスモードを終了

説明:管理者がメンテナンスモードを終了したときに発生するイベントです。

メッセージ:

  • Activated Admin App for admin node - existingadmin[.domain.tld]
  • Removed Admin Node Nomination Mode App for admin node - existingadmin[.domain.tld]
  • Reset process completed for admin node - existingadmin[.domain.tld]

例:

  • 2020-08-06T13:08:05.086-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Activate Admin App [USER="oagha"] Activated Admin App for admin node - existingadmin[.domain.tld]
  • 2020-08-06T13:08:05.105-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Removed Nomination Mode App [USER="oagha"] Removed Admin Node Nomination Mode App for admin node - existingadmin[.domain.tld]
  • 2020-08-06T13:08:05.118-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Reset process completed [USER="oagha"] Reset process completed for admin node - existingadmin[.domain.tld]

構成データ:

  • USER - 指名アクション(常時oagha)を実行中のユーザー

是正措置:

  • 該当なし

指名 - 既存の管理者ノードでバックアップが発動

説明:既存の管理者でバックアップが実行されたときに発生するイベントです。

メッセージ:

  • sudo ...

例:

  • 2020-08-06T13:06:42.000-05:00 existingadmin[.domain.tld] sudo oagha : TTY=unknown ; PWD=/opt/oag/configs/ha/configs.install ; USER=root ; COMMAND=/opt/oag/scripts/oag_backup.sh

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - 新しい管理者に譲渡された公開鍵と秘密鍵

説明:公開鍵と秘密鍵が新しい管理者に譲渡されるときに発生するイベントです。

メッセージ:

  • Copied private key of oagha user from node - existingadmin[.domain.tld to nominated node - newadmin[.domain.tld]
  • Copied public key oagha user from node - existingadmin[.domain.tld] to nominated node - existingadmin[.domain.tld]

例:

  • 2020-08-06T13:07:43.331-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Copy user private key [USER="oagha"] Copied private key of oagha user from node - existingadmin[.domain.tld] to nominated node - newadmin.[domain.tld]
  • 2020-08-06T13:07:43.515-05:00 oag.nodeA.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE ADMIN INFO Copy user public key [USER="oagha"] Copied public key oagha user from node - existing.[domain.tld] to nominated node - newadmin.[domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - ワーカーノードキーの更新

説明:ワーカーノードにキーが書き込まれるときに発生するイベントです。

メッセージ:

  • Public host keys of nominated admin node - workerX[.domain.tld] has been added to known_hosts file of worker node - newadmin[.domain.tld]

例:

  • 2020-08-06T13:07:43.228-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Update keys [USER="root"] Public host keys of nominated admin node - workerX.[domain.tld] has been added to known_hosts file of worker node - newadmin[.domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - ワーカー構成の更新

説明:ワーカーノードキーが更新されるとき発生するイベントです。

メッセージ:

  • Public host keys of nominated admin node - workerX[.domain.tld] has been added to known_hosts file of worker node - newadmin[.domain.tld]

例:

  • 2020-08-06T13:07:44.505-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Update HA Config [USER="root"] Updated HA config file - /opt/oag/configs/events/config/ha_configuration.config with nominated admin node as - newadmin[.domain.tld] and worker nodes as - workerX[.domain.tld], workerY[.domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - 確認

説明:指名が確認されるときに発生するイベントです。

メッセージ:

  • Prepared acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep
  • Sent acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep to nominated admin node - newadmin[.domain.tld]

例:

  • 2020-08-06T13:07:44.520-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Prepare Ack file [USER="root"] Prepared acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep
  • 2020-08-06T13:07:44.734-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Sent Ack file [USER="root"] Sent acknowledgment file - /tmp/f76c8aea-073b-4241-8960-536fb26573d5.ack.prep to nominated admin node - newadmin[.domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

指名 - 指名の成功

説明:指名が正常に完了したときに発生するイベントです。

メッセージ:

  • Admin nomination process completed successfully on worker node - newadmin[.domain.tld]

例:

  • 2020-08-06T13:07:44.746-05:00 oag.nodeB.com ADMIN_CONSOLE CLUSTER MANAGER UPDATE WORKER INFO Sent Ack file [USER="root"] Admin nomination process completed successfully on worker node - newadmin[.domain.tld]

構成データ:

  • USER - 指名アクション(常時root)を実行中のユーザー

是正措置:

  • 該当なし

アプリケーション

SYSTEM_APP_EVENT

アプリケーションの作成、更新、削除、アクティブ化、または非アクティブ化を行うときに発生するイベントです。

メッセージタイプ:

  • Application: <Application Name> action: CREATE

  • Application: <Application Name> action: UPDATE

  • Application: <Application Name> action: DELETE

  • Application: <Application Name> action: ENABLE

  • Application: <Application Name> action: DISABLE

例:

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="93d2e78a-c6b7-4c27-83c8-15c2b783d3bb" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="CREATE" SESSION_ID="3dKU4yqIlHkcRUeGb9f9Dh6OSgFjHq3hIMVktx7h" SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'CREATE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID>" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="UPDATE" SESSION_ID="<Session ID> " SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'UPDATE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID> " NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="ENABLE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'ENABLE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID>" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="DISABLE" SESSION_ID="<Session ID> " SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'DISABLE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Applicatuin GUID> " NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="DELETE" SESSION_ID="<Session ID> " SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'DELETE'

構成データ:

  • GUID - アプリケーションID
  • NAME - アプリケーション名
  • TYPE - アプリケーションタイプ
  • DOMAIN - アプリケーションドメイン
  • IDP - アプリケーションのIDP
  • IDP_TYPE - OktaまたはLOCAL
  • REASON - 作成・更新・削除・有効化・無効化のいずれか
  • SESSION_ID -ユーザーセッション用に作成された内部セッションID
  • SUBJECT - ユーザーが実行するアクション(通常は管理者)
  • REMOTE_ID - 利用可能な場合はユーザーのIPアドレス
  • USER_AGENT - ブラウザの詳細

証明書イベント

証明書の追加、更新、または割り当てを行うときに記録されるイベントです。詳しくは、「証明書の使用」および「証明書と証明書チェーンを管理する」を参照してください。これには、従来型の証明書と証明書チェーン認証に関連するアクションの両方が含まれます。

証明書を読み取れない

説明:Access Gateway管理者コンソールを使って証明書を追加または更新する際に、無効な証明書が提供されました。

メッセージ:

  • Failed to read certificate.

例:

  • 2020-08-10 15:42:30.583 ERROR 1336 --- [ XNIO-2 task-11] com.okta.oag.service.CertificateService : Failed to read certificate from file /opt/oag/nginx/ssl//test.crt. Error: /opt/oag/nginx/ssl/test.crt (Permission denied) This is generated while reading certificate and any certificate is lacking read permission.

構成データ:

  • なし

是正措置:

  • アップロードされる証明書が有効であり、適切な権限があることを確認します。

証明書の形式が無効

説明:Access Gateway管理者コンソールを使って証明書を追加または更新する際に、無効な証明書が提供されました。

メッセージ:

  • Error: Could not parse certificate.

例:

  • 2020-08-10 15:41:51.682 ERROR 1336 --- [ XNIO-2 task-11] com.okta.oag.service.CertificateService : Failed parse certificate file /opt/oag/nginx/ssl//test.crt. Error: Could not parse certificate: java.io.IOException: Empty input This is generated when certificate file being read is not a valid PEM format certificate file i.e. parsing error.

構成データ:

  • なし

是正措置:

  • アップロードする証明書が有効であることを確認してから、再試行します。

保護されたWebリソースの値が無効

説明:Access Gateway管理者UIコンソールでアプリケーションを追加する際に、無効な保護されたWebリソースファイルを使って自己署名証明書を生成しようとしました。

メッセージ:

  • 'value.gateway.info' is not a valid hostname.

例:

  • 2020-08-10 15:40:10.938 ERROR 1336 --- [ XNIO-2 task-11] c.okta.oag.web.rest.CertificateResource : 'value.gateway.info' is not a valid hostname.

構成データ:

  • なし

是正措置:

  • 関連するアプリケーションの保護されたWebリソースで値を確認してから、再試行してください。

保護されたWebリソースの値が存在しない

説明:Access Gateway管理者UIコンソールでアプリケーションを追加する際に、無効または存在しない保護されたWebリソースファイルを使って自己署名証明書を生成しようとしました。

メッセージ:

  • No value for relayDomain

例:

  • 2020-08-10 15:36:49.769 ERROR 1336 --- [ XNIO-2 task-2] c.i.s.web.rest.ExceptionHandlerAdvice : handleExceptions org.springframework.boot.configurationprocessor.json.JSONException: No value for relayDomain

構成データ:

  • なし

是正措置:

  • 関連するアプリケーションの保護されたWebリソースで値を確認し、エラーがあれば修正してから、再試行してください。

証明書失効リストの設定が更新されました

説明:証明書失効リストに関連付けられている設定が更新されました。

メッセージ:

  • CRL config updated.

例:

  • 2020-08-10 15:36:49.769 ERROR 1336 --- [ XNIO-2 task-2] c.i.s.web.rest.ExceptionHandlerAdvice : handleExceptions org.springframework.boot.configurationprocessor.json.JSONException: No value for relayDomain

構成データ:

  • なし

是正措置:

  • なし

ログの詳細度

ログ記録の詳細度レベルが変更されたときに発生するイベントです。「ログの詳細度を管理する」および「ログレベル」を参照してください。

ログの詳細度変更イベント

説明:管理者が現在のログの詳細度を変更しました。このイベントは、変更プロセスの開始を通知します。

メッセージ:

  • Allow access to resource

例:

  • 2020-08-26T21:24:03.678-05:00 oag01.okta.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_3fd5e31193bff51983c9f81c8092cc9f23a1339446" SUBJECT="admin@oag.okta.com" RESOURCE="/api/v1/setting/loglevel" METHOD="PUT" POLICY="api" POLICY_TYPE="PROTECTED" DURATION="0" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="gw-admin.[domain.tld]" RESULT="ALLOW" REASON="N/A - SESSIONID=_3fd5e31193bff51983c9f81c8092cc9f23a1339446 X-Authorization=admin@oag.okta.com username=admin RelayDomain=gw-admin.gateway.info oag_username=admin@oag.okta.com UserName=admin@oag.okta.com SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=192.168.1.84 USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0 creationTime=1598494932480 maxInactiveInterval=3600000 maxActiveInterval=28800000 lastAccessedTime=1598495024962 " REMOTE_IP="192.168.1.84" USER_AGENT="PostmanRuntime/7.26.3"] allow access to resource

構成データ:

  • SESSION_ID - 有効または無効。
  • RESOURCE - 常時loglevel。
  • METHOD - 常時PUT。
  • POLICY - 常時api。
  • POLICY_TYPE - 常時保護。
  • DURATION - 常時0。
  • APP - 常時ローカルOAGAdmin Console
  • APP_TYPE - 常時ADMINUI_APP。
  • APP_DOMAIN - ログの詳細度レベルが変更されたドメイン。
  • RESULT - 常時許可。
  • REASON - 該当無しの後にセッション情報が続きます。
  • REMOTE_ID - クライアントのIPアドレス。
  • USER_AGENT - 常時Postmanランタイム。

是正措置:

  • なし。情報の提供です。

ログの詳細度の変更を作成・通知(ics_all.logでおよびsys loggerを介して利用可能)

Access Gateway管理者インスタンスが発生し、ログの詳細度の変更に関する高可用性ノードと通信する際に発生するイベントです。

メッセージ:

  • application_template_service

  • application_template_service event for file_with_path:/opt/oag/events/loglevel.local.UPDATE.json

  • application_template_service event for file:loglevel.local.UPDATE.json

  • application_template_service Acquiring lock

  • application_template_service reading JSON from file '/opt/oag/events/loglevel.local.UPDATE.json'

  • application_template_service Local log level set to '[level]' where level represents the new log verbosity level.

例:

  • 2020-08-26T21:24:03.000-05:00 [DNS name of administration node] application_template_service ['/opt/oag/events/loglevel.local.UPDATE.json']

  • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service event for file_with_path:/opt/oag/events/loglevel.local.UPDATE.json

  • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service event for file:loglevel.local.UPDATE.json

  • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service Acquiring lock

  • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service reading JSON from file '/opt/oag/events/loglevel.local.UPDATE.json'

  • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service Local log level set to 'info'

構成データ:

  • なし

是正措置:

  • なし。情報の提供です。

Syslogの再起動(ics_all.logでおよびsys loggerを介して利用可能)

Access Gatewayが詳細度の変更を正常に通知し、SYSLOGエージェントを再起動しているときに生成されるイベントです。

メッセージ:

  • Restart and restart complete.

例:

  • 2020-08-26T21:24:04.000-05:00 [DNS name of HA node] OAG syslog-ng: Access-Gateway SYSLOG-NG restart

  • 2020-08-26T21:24:04.000-05:00 oag01.okta.com OAG syslog-ng: Access-Gateway SYSLOG-NG restart completed

構成データ:

  • なし

是正措置:

  • なし。情報の提供です。

詳細度のアップデート完了(ics_all.logでおよびsys loggerを介して利用可能)

Access Gatewayがログの詳細度に対する変更を完了したときに発生するイベントです。

メッセージ:

  • Application_template_service loglevel event:update template...

例:

  • 2020-08-26T21:24:04.000-05:00 [DNS name of administration node] application_template_service loglevel event:update template for file:loglevel.local.UPDATE.json

構成データ:

  • なし

是正措置:

  • なし。情報の提供です。

パスワード

パスワードの変更時にログに記録されるイベントです。

Access Gateway 管理者 UI コンソール

パスワードのリセット

説明:Access Gateway 管理者 UI コンソールのパスワードが正常に変更されました。

メッセージ:

  • Password updated successfully

例:

  • 2021-04-28T12:04:16.000-05:00 oag.adminX.com ACCESS_GATEWAY WEB_CONSOLE Admin password updated successfully.

構成データ:

  • なし

是正措置:

  • 該当なし

デフォルトパスワード再利用の試行

説明:Access Gateway 管理者 UI コンソールのパスワードをオリジナルのデフォルト値に設定するよう試みました。

メッセージ:

  • Password reset failed. Default password was entered.

例:

  • 2021-04-28T12:00:14.451-05:00 oag.adminX.com WEB_CONSOLE PASSWORD_RESET WEB_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt"] Password reset failed. Default password was entered.

構成データ:

  • USER - ログインを実行中のユーザー

是正措置:

  • 元のデフォルトパスワードと一致しない新しいパスワードを入力します。

ログイン中のデフォルトパスワード

説明:Access Gateway 管理 UI コンソールのログイン試行中に、デフォルトパスワードが検出されました。

メッセージ:

  • Default admin password being used.

例:

  • 2021-04-28T12:03:53.906-05:00 oag.adminX.com SCRIPT INFO DEFAULT_PASSWORD_CHECK [USER="spgw"] Default admin password being used.

構成データ:

  • USER - ログインを実行中のユーザー

是正措置:

  • 該当なし

ログイン中のパスワード デフォルトではないパスワード

説明:Access Gateway 管理者 UI コンソールのログイン試行中に、デフォルトパスワードは検出されませんでした。

メッセージ:

  • Default admin password not detected.

例:

  • 2021-04-28T12:04:19.319-05:00 oag.okta.com SCRIPT INFO DEFAULT_PASSWORD_CHECK [USER="spgw"] Default admin password not detected.

構成データ:

  • USER - ログインを実行中のユーザー

是正措置:

  • 該当なし

Access Gateway管理者コンソール

パスワードのリセット

説明:Access Gateway管理者コンソールパスワードは正常に変更されました。

  • パスワードのリセットに成功しました

例:

  • 2021-02-23T12:55:29.267-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE INFO PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] Password reset

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー
  • USERNAME - 常時oag-mgmt

是正措置:

  • 該当なし

リセットが失敗しました

説明:Access Gateway管理者コンソールパスワードを変更する試みは失敗しました。

メッセージ:

  • Password reset failed.
  • Password reset failed. Password did not meet minimum requirement

例:

  • 2021-02-22T19:33:51.702-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] Password reset failed

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー
  • USERNAME - 常時oag-mgmt

是正措置:

  • パスワードが要件を満たしていない可能性があります。再試行してください。

無効なパスワードが入力されました

説明:ログインが失敗しました、誤ったAccess Gateway管理者コンソールのパスワードが入力されました。

メッセージ:

  • Incorrect password entered

例:

  • 2021-02-22T19:33:19.903-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] Incorrect password entered

構成データ:

  • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー
  • USERNAME - 常時oag-mgmt

是正措置:

  • Access Gateway管理者コンソールのパスワードを再入力し、再試行してください。

システムステータス

CONFIG_TEST

NGINXが構成チェックを正常に完了したときに発生するイベントです。

メッセージ:

  • nginx: The configuration file /tmp/nginx/nginx.conf syntax is ok. nginx: configuration file /tmp/nginx/nginx.conf test is successful.

例:

  • 2020-06-24T05:40:25.786-05:00 example.myaccessgateway.com OAG_MONITOR MONITOR NGINX INFO CONFIG_TEST [STATUS="VALID" UUID="<ID>"] nginx: the configuration file /tmp/nginx/nginx.conf syntax is ok nginx: configuration file /tmp/nginx/nginx.conf test is successful.

構成データ:

  • STATUS - 有効または無効。
  • UUID - 構成のUUID。

SYSTEM_STARTUP

システムの起動が完了したときに発生するイベントです。

メッセージ:

  • Startup complete, system ready.

例:

  • 2020-06-24T10:05:56.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP [] Startup complete, system ready.

構成データ:

  • なし。

シャットダウン

システムシャットダウンの開始時に発生するイベントです。

メッセージ:

  • Shutting down system.

例:

  • O2020-06-24T08:31:25.729-05:00 example.myaccessgateway.com OAG ADMIN_CONSOLE SYSTEM SHUTDOWN INFO SHUTDOWN [USER="oag-mgmt"] Shutting down system.

構成データ:

  • USER-アクションを実行したユーザー

SYSTEM_IDP_STATUS

次の場合に発生するイベントです。

  • Access Gatewayが構成されたIDプロバイダーと正常に接続したとき。

  • Access Gatewayが構成されたIDプロバイダーと接続できないとき。

  • Access Gateway APIトークンが無効または期限切れのとき。

メッセージ:

  • Success confirming IDP status with: org.okta[preview].com.

  • Failure confirming connectivity with IDP: <IDP URL>. Please verify your network configuration.

  • Failure validating security token with IDP: <IDP Domain>. Please ensure that the token exists and is enabled.

例:

  • Success: 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="MyIDP" DOMAIN="someorg.oktapreview.com" TYPE="IDP_OKTA" RESULT="PASS" REASON="VALID"] Success confirming IDP status with: someorg.oktapreview.com.

  • Network connectivity error: 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="<IDP Name> IDP" DOMAIN="<IDP URL>" TYPE="<Identity Provider type>" RESULT="FAIL" REASON="INVALID_NETWORK_CONN"] Failure confirming connectivity with IDP: <IDP URL>>. Please verify your network configuration.

  • Invalid API token: 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="<IDP Name> IDP" DOMAIN="<IDP URL>" TYPE="<Identity Provider type>" RESULT="FAIL" REASON="INVALID_NETWORK_CONN"] Failure validating security token with IDP: <IDP Domain>. Please validate token exists and is enabled.

構成データ:

  • NAME - IDPの名前。
  • DOMAIN - 関連ドメイン。
  • TYPE - IDPのタイプ。IDP_OKTAまたはLOCAL.
  • RESULT - 成功または失敗.
  • REASON - 有効または失敗の理由。

SYSTEM_STARTUP

Access Gatewayが正常に起動したときに発生するイベントです。

メッセージ:

  • Startup complete, system ready.

例:

  • 22020-06-24T09:40:52.000-05:00 ec2-18-209-113-130.compute-1.amazonaws.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP [] Startup complete, system ready.

構成データ:

  • なし

信頼できるドメイン

SYSTEM_TD_EVENT

メッセージ:

  • source_app_guid: "<guid>", source_app_name="<name of source app>",source_app_domain: "<source domain of application>".
  • exception 'exception data' occurred.

例:

  • イベントが発生したとき:

    2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS - INFO SYSTEM_TD_EVENT [ SOURCE="APP" ACTION="UPDATE" ] source_app_guid: "61602a9d. . . ", source_app_name="Wikipedia SSO App", source_app_domain: "www.wikipedia.com"
  • エラーが発生したとき:

    2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS ALERT SYSTEM_TD_EVENT [ SOURCE="APP" ACTION="UPDATE" ] Exception when disable/enable trusted domains: [Errno 13] Permission denied: '/opt/oag/events/trusteddomains.DISABLE.json'.
  • イベントがOktaテナントと同期された場合:

    2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS - INFO SYSTEM_TD_EVENT [ SOURCE="OKTA_TRUSTED_ORIGIN" ACTION="SYNC" ]
  • 構成データ:
    • SOURCE - APPまたはOKTA_TRUSTED_ORIGIN.
    • ACTION - 作成、アップデート、削除、または同期のいずれか。信頼できるドメインが追加、アップデート、削除、または同期されたことを示します。

    注意:重要度はALERTINFO、またはWARNです。

Kerberos

SYSTEM_KRB5_EVENT

作成、アップデート、削除、アクティブ化、または非アクティブ化などのアクションがKerberosレルムに対して実行されるときに発生するイベントです。

メッセージ:

  • Kerberos Realm: <Kerberos Realm> action: CREATE
  • Kerberos Realm: <Kerberos Realm> action: UPDATE
  • Kerberos Realm: <Kerberos Realm> action: DELETE

例:

  • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="CREATE" SESSION_ID="<Session ID>" SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'CREATE'

  • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="UPDATE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'UPDATE'

  • O2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="DELETE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'DELETE'

構成データ

  • REALM - 関連するKerberosレルム。
  • REASON - 作成、アップデート、または削除。
  • SESSION_ID - 関連するローカルセッションID。
  • SUBJECT - アクションを実行しているユーザー(通常は管理者)
  • REMOTE_IP - リモートIPを使用できます。
  • USER_AGENT - リモートオペレーティングシステム、ブラウザなど。

認証および権限付与

USER_LOGIN

ユーザーがログインを試みたときに発生するイベントです。成功または失敗についてはイベントを確認してください。

メッセージ:

  • User login success: [user]
  • User login failed: [user]
  • Received an assertion that has expired. Check clock synchronization on IDP and SP.

例:

  • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE AUTHN LOCAL INFO USER_LOGIN [SESSION_ID="<Session ID>" SUBJECT="<User login name>" TYPE="LOCAL" RESULT="PASS" REASON="VALID_CREDENTIALS" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"] User login success: user@<domain.tld>

  • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE AUTHN LOCAL INFO USER_LOGIN [SESSION_ID="<Session ID> " SUBJECT="<User login name>" TYPE="LOCAL" RESULT="FAIL" REASON="INVALID_CREDENTIALS" REMOTE_IP="-" USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"] User login failed: user@<domain.tld>

  • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SAML INFO USER_AUTHN [SESSION_ID="<Session ID> " SESSION_AUTH="<Session AUTH Information> " SUBJECT="<User login name>" TYPE="SAML_2_0" SOURCE="IDP Source URL" SOURCE_TYPE="<Identity Provider type>" SOURCE_DOMAIN="<IDP URL>" SOURCE_AUTHN_TYPE="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" APP="Sample Header App" APP_DOMAIN="<App Domain URL>" RESULT="PASS" REASON="Valid SAML Assertion" REMOTE_IP="192.168.10.20" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] User login:user@<domain.tld>

  • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="<Tracking ID>" SOURCE="https://<IDP URL>/app/template_saml_2_0/exkckwwaxvY3crKhn0h7/sso/saml" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="192.168.10.192" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.62 Safari/537.36"] Received an assertion that has expired. Check clock synchronization on IdP and SP.

構成データ

  • SESSION_ID - LOCAL.
  • SUBJECT - メールアドレスなどのサブジェクト識別子。
  • TYPE - SAMLまたは関与する認証モジュール。
  • RESULT - 成功または失敗.
  • REASON-有効な資格情報または失敗の理由。
  • REMOTE_IP - リモートIPを使用できます。
  • USER_AGENT-リモートオペレーティングシステム、ブラウザなど。

USER_SESSION

セッションのリクエストが発行されたときに発生するイベントです。

メッセージ:

  • No session cookie. Sending to handler.

  • Upgraded auth cookie. App session created.

  • This should be investigated by your security group.

例:

  • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION INFO USER_SESSION [SESSION_ID="<Session ID>" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="<Application Domain>" RESULT="DENY" REASON="NOT_EXIST" REMOTE_IP="10.63.182.118" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36"] No session cookie. Sending to handler.
  • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION INFO USER_SESSION [SESSION_ID="<Session ID>" SESSION_AUTH="<Session Auth ID>" SESSION_APP="e701ddf534554eab8ea671e884438b99" SUBJECT="<User login name>" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="ALLOW" REASON="VALID_AUTHCOOKIE" REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Upgraded auth cookie. App session created.
  • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION WARN USER_SESSION [SESSION_ID="<Session ID>" SESSION_AUTH="<Session Auth ID>" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="DENY" REASON="INVALID_AUTHCOOKIE" REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] This should be investigated by your security group.

構成データ

  • SESSION_ID - セッションIDの割り当て(存在する場合)。
  • APP - アプリケーション名。
  • APP_TYPE - アプリケーションセッションに対して使用されました。
  • APP_DOMAIN-アプリケーションドメインを関連付けました。
  • RESULT- ALLOWまたはDENY
  • REASON - リクエストが許可または拒否された理由。
  • REMOTE_IP - ユーザーがログインを試みたリモートIP。
  • USER_AGENT - リモートオペレーティングシステム、ブラウザなど。

USER_LOGOUT

ログアウトをしようしたときに発生するイベントです。

メッセージ:

  • User logout success: user@<Application Domain>.

例:

  • 2020-06-04T13:53:59.986-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SESSION INFO USER_LOGOUT [SESSION_ID="<Session ID> " SUBJECT="user@<Application Domain.tld>" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="<Application Domain>"" RESULT="PASS" REASON="VALID_SESSION" REMOTE_IP="10.63.182.118" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36"] User logout success: user@<Application Domain.tld>.

構成データ:

  • SESSION_ID - セッションIDの割り当て。
  • APP - アプリケーション名。
  • APP_TYPE - アプリケーションセッションに対して使用されました。例:ADMINUI_APP。
  • APP_DOMAIN - アプリケーションドメインを関連付けました。
  • RESULT- ALLOWまたはDENY。
  • REASON - リクエストが許可または拒否された理由。
  • REMOTE_IP - ユーザーがログインを試みたリモートIP。
  • USER_AGENT - リモートオペレーティングシステム、ブラウザなど。

POLICY

リソースへのアクセス試みたときに発生するイベントでし。

メッセージ:

  • Allow access to resource.

  • Deny access to resource.

例:

  • 2020-06-24T09:40:55.667-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_8832d5961146a7d69baafe864b05eac3d5e3bb72bb" SUBJECT="admin@<Domain.tld>" RESOURCE="/" METHOD="GET" POLICY="root" POLICY_TYPE="PROTECTED" DURATION="0" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="gw-admin.saganich.com" RESULT="ALLOW" REASON="N/A - SESSIONID=_8832d5961146a7d69baafe864b05eac3d5e3bb72bb X-Authorization=admin@oag.okta.com username=admin X-SPGW-KEY=5b626d19e16f4d18ac42ef5d9cc8654a RelayDomain=gw-admin.domain.tld oag_username=admin@domain.tld UserName=admin@<Domain.tld >SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=10.0.0.110 USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "] allow access to resource.

  • 2020-06-24T09:40:55.667-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_4a3fdbbc52dadda2109e0e789098f9b473d4f68c7e" SUBJECT="user@<Domain.tld>" RESOURCE="/alt" METHOD="GET" POLICY="altroot" POLICY_TYPE="PROTECTED_REGEX" DURATION="0" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="DENY" REASON="Groups=(?!.*Everyone:) - SESSIONID=_4a3fdbbc52dadda2109e0e789098f9b473d4f68c7e RelayDomain=<App Domain URL> static_a=aaaaa static-b=bbbbb staticc=ccccc _staticd=ddddd -statice=eeeee staticcookie=1234 secret=secretvalue spgw_username=<User login name> UserName=<User login name> login=<User login name> firstname=<User first name> lastname=<User last name> email=<User login name> samplecookie<User first name> Groups=Everyone:Group A:Group C:Group E:Group B: SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=192.168.10.20 USER_AGENT=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 creationTime=1507265129865 maxInactiveInterval=3600000 maxActiveInterval=28800000 lastAccessedTime=1507265129865 " REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] deny access to resource

構成データ:

  • SESSION_ID-セッションIDの割り当て。
  • SUBJECT - 要請者
  • RESOURCE - リクエストされたリソース
  • METHOD - リクエスト方法。
  • POLICY - 適用されたポリシー
  • POLICY_TYPE - ポリシータイプの1つ。
  • DURATION - リクエストの期間
  • APP - アプリケーション名
  • APP_TYPE - アプリケーションセッションに対して使用されました。例:ADMINUI_APP。
  • APP_DOMAIN - アプリケーションドメインを関連付けました。
  • RESULT- ALLOWまたはDENY。
  • REASON - リクエストが許可または拒否された理由。その他のさまざまなポリシー関連情報が含まれます。

接続と検証

CHECK_CONNECTION

アプリケーションが追加されているときに発生するイベント。<Application Domain>が有効か無効かを判断するためのテストが行われます。

CHECK_HOSTも確認してください。

メッセージ:

  • Host <Application Domain> not found.

例:

  • 2020-06-24T09:41:16.766-05:00 example.myaccessgateway.com CHECK_HOST HOST_IP_CHECK INFO HOST [USER="admin" <Application Domain>] Host <Application Domain> not found

構成データ:

  • USER - チェックを実行する内部ユーザー。
  • アプリケーションで使用するアプリケーションドメイン、

CHECK_HOST

接続確認が実施された直後に発生するイベント。確認の結果はメッセージで通知されます。

メッセージ:

  • Ncat: Connection refused.

例:

  • 2020-06-24T09:45:28.024-05:00 example.myaccessgateway.com CHECK_HOST checkConnection.sh INFO 10.0.0.1 7001 [USER="admin"] Ncat: Connection refused.
  • 構成データ
    • USER - コマンドを実行する内部ユーザー。

ACCESS AUTHN - - ストア

接続確認が実施された直後に発生するイベント。確認の結果はメッセージで通知されます。

メッセージ:

  • Store failed during initialization.

例:

  • 22020-06-25T14:18:52.458-05: example.store.com ACCESS_GATEWAY ACCESS AUTHN FAILED WARN STORE [STORE_NAME="Name of datastore - Entry DN" FAILURE_COUNT="3"] Store failed during initialization.

構成データ:

  • STORE_NAME - 初期化に失敗したデータストアの名前。
  • FAILURE_COUNT - ストアにアクセスを試みた回数。