Access Gateway監査ログ

Access Gateway監査ログには、以下のイベントに関する情報が含まれます。

  • 管理者の指定:管理者の再指定プロセス中に発生するイベント。
  • アプリケーション:アプリケーション関連のアクティビティ(作成・更新・削除アクティブ化・非アクティブ化など)。
  • 認証および権限付与:イベント(認証、権限付与など)。
  • 証明書イベント:証明書関連イベントのアクティビティ。
  • 接続姓と検証Access Gatewayと外部リソース(バックエンドアプリケーション、データストアなど)の間のイベント。
  • Kerberos:Kerberos関連のアクティビティ(作成、アップデート、削除など)。
  • ログの詳細度:ログの詳細度の変更。
  • パスワード:パスワード関連のイベント。
  • システムステータス:システム関連のイベント(システムの起動、システムダウン、IDプロバイダー接続ステータス、EBSサブシステムの起動など)。
  • 信頼できるドメイン:信頼できるドメイン関連のアクティビティ(作成・更新・削除・同期)と信頼できるドメインの操作中に発生する例外。

はじめに

イベントフィールド

フィールド

説明

タイムスタンプ

現在のシステムの日付と時間

ホスト名

ノード生成イベントのホスト名

アプリケーション

以下のいずれか:

  • ACCESS_GATEWAY
  • OAG
  • OAG_MONITOR
  • 特定のサービス(例:check_connection)

サブプロセス

以下のいずれか:

  • ApplicationService
  • アクセス
  • ADMIN_CONSOLE
  • EBS_SSOAGENT
  • HOST_IP_CHECK
  • モニタリング
  • スクリプト
  • サービス
  • TrustedOriginUpdateScheduler
  • WEB_CONSOLE
  • 特定のサービス(例:check_connection)

コンポーネント

以下のようなsub-processのコンポーネント

  • AUTHN
  • AUTHZ
  • クラスターマネージャー管理
  • エラー
  • IDP
  • INFO
  • KRB5
  • LOG_DOWNLOAD_STATUS
  • LOG_PREPARE_OPERATION
  • LOG_PREPARE_STATUS
  • NGINX
  • システム
  • TRUSTED_DOMAINS

サブコンポーネント

以下のようなプロセスのSub-component

  • アラート
  • EBS_SSOAGENT
  • ホスト
  • INFO
  • ローカル
  • NETCAT
  • 指名
  • ポリシー
  • セッション
  • 起動/シャットダウン

LOG_LEVEL

以下のいずれかのログレベル:TRACE、DEBUG、INFO、WARN、ERROR、またはFATAL.

イベント

イベントタイプ

STRUCTURED_DATA

発生したイベントに関連するデータ

メッセージ

参照可能なメッセージ。

管理者の指定

アプリケーション

SYSTEM_APP_EVENT

アプリケーションの作成、更新、削除、アクティブ化、または非アクティブ化時に発生したイベント。

メッセージタイプ:

  • Application: <Application Name> action: CREATE

  • Application: <Application Name> action: UPDATE

  • Application: <Application Name> action: DELETE

  • Application: <Application Name> action: ENABLE

  • Application: <Application Name> action: DISABLE

例:

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="93d2e78a-c6b7-4c27-83c8-15c2b783d3bb" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="CREATE" SESSION_ID="3dKU4yqIlHkcRUeGb9f9Dh6OSgFjHq3hIMVktx7h" SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'CREATE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID>" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="UPDATE" SESSION_ID="<Session ID> " SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'UPDATE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID> " NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="ENABLE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'ENABLE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com ACCESSS_GATEWAY WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Application GUID>" NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="DISABLE" SESSION_ID="<Session ID> " SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'DISABLE'

  • 2020-06-24T09:40:36.000-05:00 example.myaccessgateway.com WEB_CONSOLE APP - INFO SYSTEM_APP_EVENT [GUID="<Applicatuin GUID> " NAME="Sample Header App" TYPE="SAMPLEHEADER_APP" DOMAIN="<App Domain URL>" IDP="<IDP URL>" IDP_TYPE="<Identity Provider type>" REASON="DELETE" SESSION_ID="<Session ID> " SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Application: 'Sample Header App' action: 'DELETE'

構成データ:

  • GUID - アプリケーションID
  • NAME - アプリケーション名
  • TYPE - アプリケーションタイプ
  • DOMAIN - アプリケーションドメイン
  • IDP - アプリケーションのIDP
  • IDP_TYPE - OktaまたはLOCAL
  • REASON - 作成・更新・削除・有効化・無効化のいずれか
  • SESSION_ID -ユーザーセッション用に作成された内部セッションID
  • SUBJECT - ユーザーが実行するアクション(通常は管理者)
  • REMOTE_ID - 利用可能な場合はユーザーのIPアドレス
  • USER_AGENT - ブラウザの詳細

証明書イベント

ログの詳細度

ロギングの詳細度レベルが変更されたときに発生するイベント。「ログの詳細度を管理する」および「ロギングレベル」を参照してください。

ログの詳細度変更イベント

説明:管理者が現在のログの詳細度を変更しました。このイベントは、変更プロセスの開始を通知します。

メッセージ:

  • リソースへのアクセス許可

例:

  • 2020-08-26T21:24:03.678-05:00 oag01.okta.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_3fd5e31193bff51983c9f81c8092cc9f23a1339446" SUBJECT="admin@oag.okta.com" RESOURCE="/api/v1/setting/loglevel" METHOD="PUT" POLICY="api" POLICY_TYPE="PROTECTED" DURATION="0" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="gw-admin.[domain.tld]" RESULT="ALLOW" REASON="N/A - SESSIONID=_3fd5e31193bff51983c9f81c8092cc9f23a1339446 X-Authorization=admin@oag.okta.com username=admin RelayDomain=gw-admin.gateway.info oag_username=admin@oag.okta.com UserName=admin@oag.okta.com SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=192.168.1.84 USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0 creationTime=1598494932480 maxInactiveInterval=3600000 maxActiveInterval=28800000 lastAccessedTime=1598495024962 " REMOTE_IP="192.168.1.84" USER_AGENT="PostmanRuntime/7.26.3"] リソースへのアクセス許可
  • 構成データ:
    • SESSION_ID - 有効または無効。
    • RESOURCE - 常時loglevel。
    • METHOD - 常時PUT。
    • POLICY - 常時api。
    • POLICY_TYPE - 常時保護。
    • DURATION - 常時0。
    • APP - 常時ローカルOAGAdmin Console
    • APP_TYPE - 常時ADMINUI_APP。
    • APP_DOMAIN - ログの詳細度レベルが変更されたドメイン。
    • RESULT - 常時許可。
    • REASON - 該当無しの後にセッション情報が続きます。
    • REMOTE_ID - クライアントのIPアドレス。
    • USER_AGENT - 常時Postmanランタイム。
  • 是正措置:
    • なし、情報提供。
  • ログの詳細度の変更を作成・通知(ics_all.logでおよびsys loggerを介して利用可能)

    Access Gateway管理者インスタンスが発生し、ログの詳細度の変更に関する高可用性ノードと通信する際に発生するイベント。

    メッセージ:

    • application_template_service

    • application_template_service event for file_with_path:/opt/oag/events/loglevel.local.UPDATE.json

    • application_template_service event for file:loglevel.local.UPDATE.json

    • application_template_service Acquiring lock

    • application_template_service reading JSON from file '/opt/oag/events/loglevel.local.UPDATE.json'

    • レベルが新しいログの詳細度レベルを示すapplication_template_service Local log level set to '[level]'。

    例:

    • 2020-08-26T21:24:03.000-05:00 [DNS name of administration node] application_template_service ['/opt/oag/events/loglevel.local.UPDATE.json']

    • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service event for file_with_path:/opt/oag/events/loglevel.local.UPDATE.json

    • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service event for file:loglevel.local.UPDATE.json

    • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service Acquiring lock

    • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service reading JSON from file '/opt/oag/events/loglevel.local.UPDATE.json'

    • 2020-08-26T21:24:03.000-05:00 oag01.okta.com application_template_service Local log level set to 'info'

    構成データ:

    • なし

  • 是正措置:
    • なし、情報提供。
  • Syslogの再起動(ics_all.logでおよびsys loggerを介して利用可能)

    Access Gatewayが詳細度の変更を正常に通知し、SYSLOGエージェントを再起動しているときに生成されるイベント。

    メッセージ:

    • 再起動および再起動の完了

    例:

    • 2020-08-26T21:24:04.000-05:00 [DNS name of HA node] OAG syslog-ng: Access-Gateway SYSLOG-NG restart

    • 2020-08-26T21:24:04.000-05:00 oag01.okta.com OAG syslog-ng: Access-Gateway SYSLOG-NG restart completed

    構成データ:

    • なし

  • 是正措置:
    • なし、情報提供。
  • 詳細度のアップデート完了(ics_all.logでおよびsys loggerを介して利用可能)

    Access Gatewayがログの詳細度に対する変更を完了したときに発生するイベント。

    メッセージ:

    • Application_template_service loglevel event:update template...

    例:

    • 2020-08-26T21:24:04.000-05:00 [DNS name of administration node] application_template_service loglevel event:update template for file:loglevel.local.UPDATE.json

    構成データ:

    • なし

  • 是正措置:
    • なし、情報提供。
  • パスワード

    パスワードの変更時にログに記録されたイベント。

    Access Gateway 管理者 UI コンソール

    パスワードのリセット

    説明:Access Gateway 管理者 UI コンソールのパスワードが正常に変更されました。

    メッセージ:

    • 正常にアップデートされたパスワード

    例:

    • 2021-04-28T12:04:16.000-05:00 oag.adminX.com ACCESS_GATEWAY WEB_CONSOLE管理者パスワードが正常にアップデートされました。

    構成データ:

    • なし

    是正措置:

    • 該当なし

    デフォルトパスワード再利用の試行

    説明:Access Gateway 管理者 UI コンソールのパスワードをオリジナルのデフォルト値に設定するよう試みました。

    メッセージ:

    • パスワードのリセットが失敗しました。デフォルトパスワードが入力されました。

    例:

    • 2021-04-28T12:00:14.451-05:00 oag.adminX.com WEB_CONSOLE PASSWORD_RESET WEB_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt"]パスワードのリセットが失敗しました。デフォルトパスワードが入力されました。

    構成データ:

    • USER - ログインを実行中のユーザー。

    是正措置:

    • 元のデフォルトパスワードと一致しない新しいパスワードを入力します。

    ログイン中のデフォルトパスワード

    説明:Access Gateway 管理 UI コンソールのログイン試行中に、デフォルトパスワードが検出されました。

    メッセージ:

    • デフォルトの管理者パスワードが使用されています。

    例:

    • 2021-04-28T12:03:53.906-05:00 oag.adminX.com SCRIPT INFO DEFAULT_PASSWORD_CHECK [USER="spgw"] デフォルトの管理者パスワードが使用されています。

    構成データ:

    • USER - ログインを実行中のユーザー。

    是正措置:

    • 該当なし

    ログイン中のパスワード デフォルトではないパスワード

    説明:Access Gateway 管理者 UI コンソールのログイン試行中に、デフォルトパスワードは検出されませんでした。

    メッセージ:

    • デフォルトの管理者パスワードは検出されませんでした。

    例:

    • 2021-04-28T12:04:19.319-05:00 oag.okta.com SCRIPT INFO DEFAULT_PASSWORD_CHECK [USER="spgw"]デフォルトの管理者パスワードは検出されませんでした。

    構成データ:

    • USER - ログインを実行中のユーザー。

    是正措置:

    • 該当なし

    Access Gateway管理者コンソール

    パスワードのリセット

    説明:Access Gateway管理者コンソールパスワードは正常に変更されました。

    • パスワードのリセットに成功しました

    例:

    • 2021-02-23T12:55:29.267-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE INFO PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] パスワードリセット

    構成データ:

    • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー
    • USERNAME - 常時oag-mgmt

    是正措置:

    • 該当なし

    リセットが失敗しました

    説明:Access Gateway管理者コンソールパスワードを変更する試みは失敗しました。

    メッセージ:

    • パスワードのリセットが失敗しました。
    • パスワードのリセットが失敗しました。パスワードが最少要件を満たしていませんでした。

    例:

    • 2021-02-22T19:33:51.702-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] パスワードのリセットが失敗しました

    構成データ:

    • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー
    • USERNAME - 常時oag-mgmt

    是正措置:

    • パスワードが要件を満たしていない可能性があります。再度お試しください。

    無効なパスワードが入力されました

    説明:ログインが失敗しました、誤ったAccess Gateway管理者コンソールのパスワードが入力されました。

    メッセージ:

    • 誤ったパスワードが入力されました

    例:

    • 2021-02-22T19:33:19.903-06:00 oag.adminX.com ADMIN_CONSOLE PASSWORD_RESET ADMIN_CONSOLE ERROR PASSWORD_RESET [USER="oag-mgmt" USERNAME="oag-mgmt"] I誤ったパスワードが入力されました。

    構成データ:

    • USER - 指名アクション(常時oag-mgmt)を実行中のユーザー
    • USERNAME - 常時oag-mgmt

    是正措置:

    • Access Gateway管理者コンソールのパスワードを再入力し、再試行してください。

    システムステータス

    CONFIG_TEST

    NGINXが構成チェックを正常に完了したときに発生するイベント。

    メッセージ:

    • nginx: The configuration file /tmp/nginx/nginx.conf syntax is ok. nginx: configuration file /tmp/nginx/nginx.conf testテストは成功しました。

    例:

    • 2020-06-24T05:40:25.786-05:00 example.myaccessgateway.com OAG_MONITOR MONITOR NGINX INFO CONFIG_TEST [STATUS="VALID" UUID="<ID>"] nginx: the configuration file /tmp/nginx/nginx.conf syntax is ok nginx: configuration file /tmp/nginx/nginx.conf テストは成功しました。

    構成データ:

    • STATUS-有効または無効。
    • UUID - 構成のUUID。

    SYSTEM_STARTUP

    システムの起動が完了したときに発生するイベント。

    メッセージ:

    • 起動が完了し、システムの準備ができました。

    例:

    • 2020-06-24T10:05:56.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP []起動が完了し、システムの準備ができました。

    構成データ:

    • なし。

    シャットダウン

    システムシャットダウンの開始時に発生するイベント。

    メッセージ:

    • システムをシャットダウンしています。

    例:

    • O2020-06-24T08:31:25.729-05:00 example.myaccessgateway.com OAG ADMIN_CONSOLE SYSTEM SHUTDOWN INFO SHUTDOWN [USER="oag-mgmt"]システムをシャットダウンしています。

    構成データ:

    • USER-アクションを実行したユーザー。

    SYSTEM_IDP_STATUS

    次の場合に発生するイベント:

    • Access Gatewayが構成されたIDプロバイダーと正常に接続したとき。

    • Access Gatewayが構成されたIDプロバイダーと接続できないとき。

    • Access Gateway APIトークンが無効または期限切れのとき。

    メッセージ:

    • 次を用いたIDPステータスの確認に成功:org.okta[preview].com

    • 次のIDPを用いた接続の確認に失敗:<IDP URL> ネットワーク構成を確認してください。

    • 次のIDPを用いたセキュリティトークンの検証に失敗: <IDP Domain>。トークンが存在し、有効になっていることを確認してください。

    例:

    • Success: 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="MyIDP" DOMAIN="someorg.oktapreview.com" TYPE="IDP_OKTA" RESULT="PASS" REASON="VALID"] Success confirming IDP status with: someorg.oktapreview.com.

    • Network connectivity error: 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="<IDP Name> IDP" DOMAIN="<IDP URL>" TYPE="<Identity Provider type>" RESULT="FAIL" REASON="INVALID_NETWORK_CONN"] Failure confirming connectivity with IDP: <IDP URL>>. ネットワーク構成を確認してください。

    • Invalid API token: 2020-06-24T04:00:01.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE IDP LOCAL INFO SYSTEM_IDP_STATUS [NAME="<IDP Name> IDP" DOMAIN="<IDP URL>" TYPE="<Identity Provider type>" RESULT="FAIL" REASON="INVALID_NETWORK_CONN"] Failure validating security token with IDP: <IDP Domain>. トークンが存在し、有効になっていることを確認してください。

    構成データ:

    • NAME - IDPの名前。
    • DOMAIN - 関連ドメイン。
    • TYPE - IDPのタイプ。IDP_OKTAまたはLOCAL.
    • RESULT - 成功または失敗.
    • REASON - 有効または失敗の理由。

    SYSTEM_STARTUP

    Access Gatewayが正常に起動したときに発生するイベント。

    メッセージ:

    • 起動が完了し、システムの準備ができました。

    例:

    • 22020-06-24T09:40:52.000-05:00 ec2-18-209-113-130.compute-1.amazonaws.com ACCESS_GATEWAY WEB_CONSOLE - - INFO SYSTEM_STARTUP []起動が完了し、システムの準備ができました。

    構成データ:

    • なし

    信頼できるドメイン

    SYSTEM_TD_EVENT

    メッセージ:

    • source_app_guid: "<guid>", source_app_name="<name of source app>",source_app_domain: "<source domain of application>".
    • exception 'exception data' occurred.

    例:

    • イベントが発生したとき:

      2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS - INFO SYSTEM_TD_EVENT [ SOURCE="APP" ACTION="UPDATE" ] source_app_guid: "61602a9d. . . ", source_app_name="Wikipedia SSO App", source_app_domain: "www.wikipedia.com"
    • エラーが発生したとき:

      2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS ALERT SYSTEM_TD_EVENT [ SOURCE="APP" ACTION="UPDATE" ] Exception when disable/enable trusted domains: [Errno 13] Permission denied: '/opt/oag/events/trusteddomains.DISABLE.json'.
    • イベントがOktaテナントと同期された場合:

      2020-07-15T04:46:38.000-04:00 localhost ACCESS_GATEWAY WEB_CONSOLE TRUSTED_DOMAINS - INFO SYSTEM_TD_EVENT [ SOURCE="OKTA_TRUSTED_ORIGIN" ACTION="SYNC" ]
    • 構成データ:
      • SOURCE - APPまたはOKTA_TRUSTED_ORIGIN.
      • ACTION - 作成、アップデート、削除、または同期のいずれか。信頼できるドメインが追加、アップデート、削除、または同期されたことを示します。

      注意:重要度はALERTINFO、またはWARNです。

    Kerberos

    SYSTEM_KRB5_EVENT

    作成、アップデート、削除、アクティブ化、または非アクティブ化などのアクションがKerberos領域に対して実行されるときに発生するイベント。

    メッセージ:

    • Kerberos Realm: <Kerberos Realm> action: CREATE
    • Kerberos Realm: <Kerberos Realm> action: UPDATE
    • Kerberos Realm: <Kerberos Realm> action: DELETE

    例:

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="CREATE" SESSION_ID="<Session ID>" SUBJECT="admin" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'CREATE'

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="UPDATE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'UPDATE'

    • O2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE KRB5 - INFO SYSTEM_KRB5_EVENT [REALM="<Kerberos Realm>" REASON="DELETE" SESSION_ID="<Session ID>" SUBJECT="user@<Domain.tld>" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] Kerberos Realm: '<Kerberos Realm>' action: 'DELETE'

    構成データ

    • REALM - 関連するKerberos領域。
    • REASON - 作成、アップデート、または削除。
    • SESSION_ID - 関連するローカルセッションID。
    • SUBJECT - アクションを実行しているユーザー(通常は管理者)
    • REMOTE_IP - リモートIPを使用できます。
    • USER_AGENT - リモートオペレーティングシステム、ブラウザなど。

    認証および権限付与

    USER_LOGIN

    ユーザーがログインを試みたときに発生するイベント。成功または失敗についてはイベントを確認してください。

    メッセージ:

    • ユーザーログインの成功: [user]
    • ユーザーログインの失敗:[user]
    • 期限切れのアサーションを受信しました。IDPおよびSPのクロック同期を確認します。

    例:

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE AUTHN LOCAL INFO USER_LOGIN [SESSION_ID="<Session ID>" SUBJECT="<User login name>" TYPE="LOCAL" RESULT="PASS" REASON="VALID_CREDENTIALS" REMOTE_IP="-" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"] User login success: user@<domain.tld>

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY WEB_CONSOLE AUTHN LOCAL INFO USER_LOGIN [SESSION_ID="<Session ID> " SUBJECT="<User login name>" TYPE="LOCAL" RESULT="FAIL" REASON="INVALID_CREDENTIALS" REMOTE_IP="-" USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"] User login failed: user@<domain.tld>

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SAML INFO USER_AUTHN [SESSION_ID="<Session ID> " SESSION_AUTH="<Session AUTH Information> " SUBJECT="<User login name>" TYPE="SAML_2_0" SOURCE="IDP Source URL" SOURCE_TYPE="<Identity Provider type>" SOURCE_DOMAIN="<IDP URL>" SOURCE_AUTHN_TYPE="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" APP="Sample Header App" APP_DOMAIN="<App Domain URL>" RESULT="PASS" REASON="Valid SAML Assertion" REMOTE_IP="192.168.10.20" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] User login:user@<domain.tld>

    • 2020-06-24T10:06:23.000-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="<Tracking ID>" SOURCE="https://<IDP URL>/app/template_saml_2_0/exkckwwaxvY3crKhn0h7/sso/saml" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="192.168.10.192" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.62 Safari/537.36"] 期限切れのアサーションを受信しました。IDPおよびSPのクロック同期を確認します。

    構成データ

    • SESSION_ID - LOCAL.
    • SUBJECT - メールアドレスなどのサブジェクト識別子。
    • TYPE - SAMLまたは関与する認証モジュール。
    • RESULT - 成功または失敗.
    • REASON-有効な資格情報または失敗の理由。
    • REMOTE_IP - リモートIPを使用できます。
    • USER_AGENT-リモートオペレーティングシステム、ブラウザなど。

    USER_SESSION

    セッションのリクエストが発行されたときに発生するイベント。

    メッセージ:

    • セッションCookieがありません。ハンドラーへの送信。

    • 認証クッキーをアップグレードしました。作成されたアプリセッション。

    • これは、セキュリティグループによる調査が必要です。

    例:

    • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION INFO USER_SESSION [SESSION_ID="<Session ID>" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="<Application Domain>" RESULT="DENY" REASON="NOT_EXIST" REMOTE_IP="10.63.182.118" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36"]セッションクッキーがありません。ハンドラーへの送信。
    • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION INFO USER_SESSION [SESSION_ID="<Session ID>" SESSION_AUTH="<Session Auth ID>" SESSION_APP="e701ddf534554eab8ea671e884438b99" SUBJECT="<User login name>" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="ALLOW" REASON="VALID_AUTHCOOKIE" REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"] 認証クッキーがアップグレードされました。作成されたアプリセッション。
    • 2020-06-04T13:53:53.483-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ SESSION WARN USER_SESSION [SESSION_ID="<Session ID>" SESSION_AUTH="<Session Auth ID>" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="DENY" REASON="INVALID_AUTHCOOKIE" REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"]これは、セキュリティグループによる調査が必要です。

    構成データ

    • SESSION_ID - セッションIDの割り当て(存在する場合)。
    • APP - アプリケーション名。
    • APP_TYPE - アプリケーションセッションに対して使用されました。
    • APP_DOMAIN-アプリケーションドメインを関連付けました。
    • RESULT- ALLOWまたはDENY.
    • REASON - リクエストが許可または拒否された理由。
    • REMOTE_IP - ユーザーがログインを試みたリモートIP。
    • USER_AGENT - リモートオペレーティングシステム、ブラウザなど。

    USER_LOGOUT

    ログアウトをしようしたときに発生するイベント。

    メッセージ:

    • ユーザーログアウトの成功:user@<Application Domain>。

    例:

    • 2020-06-04T13:53:59.986-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHN SESSION INFO USER_LOGOUT [SESSION_ID="<Session ID> " SUBJECT="user@<Application Domain.tld>" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="<Application Domain>"" RESULT="PASS" REASON="VALID_SESSION" REMOTE_IP="10.63.182.118" USER_AGENT="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36"] User logout success: user@<Application Domain.tld>.

    構成データ:

    • SESSION_ID - セッションIDの割り当て。
    • APP - アプリケーション名。
    • APP_TYPE - アプリケーションセッションに対して使用されました。例えばADMINUI_APP。
    • APP_DOMAIN - アプリケーションドメインを関連付けました。
    • RESULT- ALLOWまたはDENY。
    • REASON - リクエストが許可または拒否された理由。
    • REMOTE_IP - ユーザーがログインを試みたリモートIP。
    • USER_AGENT - リモートオペレーティングシステム、ブラウザなど。

    ポリシー

    リソースへのアクセス試みたときに発生するイベント。

    メッセージ:

    • リソースへのアクセスを許可する。

    • リソースへのアクセスを拒否する。

    例:

    • 2020-06-24T09:40:55.667-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_8832d5961146a7d69baafe864b05eac3d5e3bb72bb" SUBJECT="admin@<Domain.tld>" RESOURCE="/" METHOD="GET" POLICY="root" POLICY_TYPE="PROTECTED" DURATION="0" APP="Local OAG Admin Console" APP_TYPE="ADMINUI_APP" APP_DOMAIN="gw-admin.saganich.com" RESULT="ALLOW" REASON="N/A - SESSIONID=_8832d5961146a7d69baafe864b05eac3d5e3bb72bb X-Authorization=admin@oag.okta.com username=admin X-SPGW-KEY=5b626d19e16f4d18ac42ef5d9cc8654a RelayDomain=gw-admin.domain.tld oag_username=admin@domain.tld UserName=admin@<Domain.tld >SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=10.0.0.110 USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "]リソースへのアクセスを許可する

    • 2020-06-24T09:40:55.667-05:00 example.myaccessgateway.com ACCESS_GATEWAY ACCESS AUTHZ POLICY INFO USER_AUTHZ [SESSION_ID="_4a3fdbbc52dadda2109e0e789098f9b473d4f68c7e" SUBJECT="user@<Domain.tld>" RESOURCE="/alt" METHOD="GET" POLICY="altroot" POLICY_TYPE="PROTECTED_REGEX" DURATION="0" APP="Sample Header App" APP_TYPE="SAMPLEHEADER_APP" APP_DOMAIN="<App Domain URL>" RESULT="DENY" REASON="Groups=(?!.*Everyone:) - SESSIONID=_4a3fdbbc52dadda2109e0e789098f9b473d4f68c7e RelayDomain=<App Domain URL> static_a=aaaaa static-b=bbbbb staticc=ccccc _staticd=ddddd -statice=eeeee staticcookie=1234 secret=secretvalue spgw_username=<User login name> UserName=<User login name> login=<User login name> firstname=<User first name> lastname=<User last name> email=<User login name> samplecookie<User first name> Groups=Everyone:Group A:Group C:Group E:Group B: SourceAuthNType=urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport RemoteIP=192.168.10.20 USER_AGENT=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 creationTime=1507265129865 maxInactiveInterval=3600000 maxActiveInterval=28800000 lastAccessedTime=1507265129865 " REMOTE_IP="" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"]リソースへのアクセスを拒否する

    構成データ:

    • SESSION_ID-セッションIDの割り当て。
    • SUBJECT - 要請者
    • RESOURCE - リクエストされたリソース
    • METHOD - リクエスト方法。
    • POLICY - 適用されたポリシー
    • POLICY_TYPE - ポリシータイプの1つ。
    • DURATION - リクエストの期間
    • APP - アプリケーション名
    • APP_TYPE - アプリケーションセッションに対して使用されました。例えばADMINUI_APP。
    • APP_DOMAIN - アプリケーションドメインを関連付けました。
    • RESULT- ALLOWまたはDENY。
    • REASON - リクエストが許可または拒否された理由。その他のさまざまなポリシー関連情報が含まれます。

    接続と検証

    CHECK_CONNECTION

    アプリケーションが追加されているときに発生するイベント。<Application Domain>が有効か無効かを判断するためのテストが行われます。

    CHECK_HOSTも確認してください。

    メッセージ:

    • Host <Application Domain>が見つかりません。

    例:

    • 2020-06-24T09:41:16.766-05:00 example.myaccessgateway.com CHECK_HOST HOST_IP_CHECK INFO HOST [USER="admin" <Application Domain>] Host <Application Domain>が見つかりません

    構成データ:

    • USER - チェックを実行する内部ユーザー。
    • アプリケーションで使用するアプリケーションドメイン、

    CHECK_HOST

    接続確認が実施された直後に発生するイベント。確認の結果はメッセージで通知されます。

    メッセージ:

    • Ncat:接続が拒否されました。

    例:

    • 2020-06-24T09:45:28.024-05:00 example.myaccessgateway.com CHECK_HOST checkConnection.sh INFO 10.0.0.1 7001 [USER="admin"] Ncat:接続が拒否されました。
    • 構成データ
      • USER - コマンドを実行する内部ユーザー。

    ACCESS AUTHN - - ストア

    接続確認が実施された直後に発生するイベント。確認の結果はメッセージで通知されます。

    メッセージ:

    • 初期化中にストアに失敗しました。

    例:

    • 22020-06-25T14:18:52.458-05: example.store.com ACCESS_GATEWAY ACCESS AUTHN FAILED WARN STORE [STORE_NAME="Name of datastore - Entry DN" FAILURE_COUNT="3"]初期化中にストアに失敗しました。

    構成データ:

    • STORE_NAME - 初期化に失敗したデータストアの名前。
    • FAILURE_COUNT - ストアにアクセスを試みた回数。