System Logのフィルターと検索

System Logでは、さまざまなパラメーターや演算子を使用してイベントをフィルタリングできます。デフォルトでは、過去7日間のすべてのイベントがフィルタリングされて表示されます。

フィルター

System Logのイベントは次の条件でフィルタリングできます。

  • 日付範囲
    表示するイベントをフィルタリングする範囲の開始時刻と終了時刻を指定します。

    Oktaでのイベントの保持期間は90日間です。これより長い範囲を指定すると、エラーが発生します。

  • タイムゾーン:ドロップダウンボックスを使用して、システムログのイベントを表示するタイムゾーンを選択します。

  • IPアドレス:System Logのイベントを表示するときに、スーパー管理者やorg管理者は特定のIPアドレスのすべてのイベントを表示することがあります。

    1. [Events(イベント)]テーブルでイベントの右矢印をクリックすると、そのイベントに関するアクター、クライアント、イベント、リクエスト、ターゲットの情報が表示されます。

    2. 次のいずれかを展開します。

      • [Client(クライアント)]
      • [Request(リクエスト)][IPChain(IPチェーン)]

    3. IPアドレスにカーソルを合わせると、フィルターアイコンが表示されます。

    4. [Filter(フィルター)]アイコンをクリックすると、イベントのリストが並べ替えられます。

カスタムフィルターをクリアしてデフォルトのフィルターに戻すには、[Reset Filters(フィルターをリセット)]をクリックします。

System Logのフィルター

イベントの検索

サポートされている演算子を使用して、イベントの基本検索または詳細検索を実行できます。検索を保存してイベント情報をすばやく取得することもできます。

基本検索

  1. 開始、終了、タイムゾーンのフィールドを使用して時間範囲を指定します。

  2. すべてのイベントを検索する文字列を入力します。

  3. [Enter]キーを押すか、[Search(検索)]アイコンをクリックします。

次の表に、よく使用されるカスタムクエリをいくつか示します。

ユースケース クエリ
ユーザーのパスワードのリセット eventType eq "user.account.reset_password"
レート制限エラーの特定 displayMessage eq "Rate limit violation"
アプリケーションの割り当て application.user_membership.add
アプリケーションへのアクセス eventType eq "user.authentication.sso"
ユーザーの作成 user.lifecycle.create
ユーザーのロックアウト user.account.lock
セルフサービスによるロック解除 self_service.account_unlock

サインインの成功

user.authentication.sso

疑わしいアクティビティ

outcome.reason eq "Authentication failed: bad username or password"

詳細検索

  1. [Advanced Filters(高度なフィルター)]をクリックします。

  2. 選択条件を入力します。

  3. [Apply Filter(フィルターを適用)]をクリックします。

高度なフィルターの演算子

現在、System Logでは以下の演算子をサポートしています。

  • [equals(次と等しい)]
  • [contains(次を含む)]
  • [starts with(次から開始)]
  • [ends with(次で終わる)]
  • [not equal(次と等しくない)]
  • [is present(存在する)]
  • [greater than(次より大きい)]
  • [greater than or equal to(次より大きいか等しい)]
  • [less than(次より小さい)]
  • [less than or equal to(次より小さいか等しい)]

[Contains(次を含む)]演算子では、次のフィールドはサポートされません。

  • debugContext.debugData.url

  • debugContext.debugData.requestUri

演算子の詳細については、「演算子」を参照してください。

検索の保存

検索を保存して再利用できます。保存した検索について、再利用、変更、削除が可能です。

  1. System Logの検索を実行した後、[Save(保存)]をクリックします。

  2. カスタマイズした検索の名前を入力します。

  3. [Save as new(新規に保存)]をクリックします。カスタマイズした検索が[レポート]ページに表示されます。