ログストリーミング

ログストリーミングを使用して、サポートされている外部プラットフォーム(Amazon EventBridgeまたはSplunk Cloud)にほぼリアルタイムで手軽にOkta System Logイベントをエクスポートします。これらのプラットフォームを使用して、次を行えます。

  • 疑わしいアクティビティがないかOktaを監視します。

  • 特定のイベントタイプに応じてリスクを軽減するためのアクションを自動化します。

  • アラートを発し、問題のトラブルシューティングを行い、根本原因を分析します。

  • コンプライアンス要件を満たすために、イベントを長期間保持します。

ストリームのアクティベーションや削除など、ログストリーミングイベントはイベントフックの対象です。このようなイベントのリストについては、イベントカタログを参照してください。

制限事項と既知の問題

  • Oktaが作成・管理するのは利用可能な統合のみです。ISVの送信は現在許容されていません。

  • Oktaは、すべてのSystem Logイベントを構成済みのログストリームターゲットに送信します。イベントのフィルタリングはサポートされていません。

  • 再試行機能(特定の時点でのイベントの再送信)は現在サポートされていません。

  • ログストリームターゲットがログストリームの確認応答を停止すると、Oktaはログストリームを非アクティブ化し、イベントはログストリームターゲットに送信されなくなります。ターゲットが再度健全になったら、Okta Admin Consoleの[Log Streaming(ログストリーミング)]ページでログストリームをアクティブ化する必要があります。

  • イベントの配信:イベントの配信はベストエフォートです。イベントはアクティブなログストリームに少なくとも1回配信されます。イベントが順序どおりに到着しない場合や、イベントが複数回送信される場合もあります。順序を定めるには、各イベントのdata.events.publishedプロパティーに含まれるタイムスタンプを使用できます。重複したイベント配信を検出するには、受信イベントのeventId値を以前に受信したイベントの値と比較します。

    ログストリームが配信イベントに応答する際にエラーが発生した場合、またはタイムアウトした場合、配信の試行は失敗します。どちらかが発生するとOktaは配信を再試行します。配信試行は2回のみ行われ、ログストリームが非アクティブになるまで、再試行の間に追加の待機時間はありません。system.log_stream.lifecycle.deactivateイベントは、System LogのユーザーインターフェイスまたはSystem Log APIを使用して表示できます。ストリームの状態は、ログストリーム構成で非アクティブ化されていることを示しています。

  • イベントのレイテンシー:Oktaでは、イベントが発生してからログストリームに配信されるまでの最大時間を保証していません。さらに、サードパーティーのサービスがログストリームとして指定されている場合、サードパーティーのサービスによって遅延が挿入される可能性があり、これについてはOktaの制御範囲を超えています。Oktaから問題が報告されていないのに、アクティブなストリームに関連するイベントが指定されたサードパーティーサービスで表示されない場合は、そのサービスのサポートOrganizationにお問い合わせください。

  • ログを受信するストリームのターゲットはOkta以外のアプリケーションです。Okta以外のアプリケーションには、お客様またはサードパーティーが提供し、Oktaサービスと相互運用する、Webベース、オフライン、モバイル、またはその他のアプリケーションが含まれます。

    Okta以外のアプリケーションへのログの送信は、Organizationを代表して許可されている場合のみ行ってください。Okta以外のアプリケーションとの継続的なパートナーシップまたは機能を保証することはできません。

関連項目

AWS EventBridgeログストリームを追加する

Splunk Cloudログストリームを追加する

ログストリームのステータスを編集する