不審なアクティビティのイベント

不審なアクティビティをSystem Logにクエリしてユーザーを識別できます。この表のイベントの詳細については、「イベントタイプ」を参照してください。

イベント イベントタイプ System Logクエリ
1 Failed ${factor} factor attempt(${factor} 要素の試行に失敗しました) user.authentication.auth_via_mfa eventType eq "user.authentication.auth_via_mfa" and outcome.result eq "FAILURE"
2 The transformed username '${okta_username}' was rejected by the username filter(変換されたユーザー名「${okta_username}」がユーザー名フィルターで却下されました) user.authentication.auth_via_IDP eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to match transformed username"
3 Unable to resolve IdP endpoint with '${match_criteria}'.(IdPエンドポイントを「${match_criteria}」で解決できません。)Ensure the IdP is correctly configured(IdPが正しく構成されていることを確認してください) user.authentication.auth_via_IDP eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to resolve IdP endpoint"
4 Unable to validate incoming SAML Assertion: [${token_id}] - ${error_message}(受信SAMLアサーションを検証できません:[${token_id}] - ${error_message}) user.authentication.auth_via_IDP eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate incoming SAML Assertion"
5 A SAML Assertion with the same ID [${token_id}] has already been processed by Okta for a previous request(以前の要求で、同じID [${token_id}] のSAMLアサーションがOktaによってすでに処理されています) user.authentication.auth_via_IDP eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "A SAML assert with the same ID has already been processed by Okta for a previous request"
6 Unable to validate SAML Response [ID=${message_id}] - 'InResponseTo=${in_response_to}' does not match an ID of a SAML authentication request sent from Okta(SAMLレスポンス [ID=${message_id}] を検証できません - 「InResponseTo=${in_response_to}」がOktaから送信されたSAML認証要求のIDと一致しません) user.authentication.auth_via_IDP eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate SAML Response"
7 Sign-in Failed {some reason}(サインインに失敗しました {some reason}) user.authentication.auth eventType eq "user.authentication.auth" and outcome.result eq "FAILURE"
user.session.start eventType eq "user.session.start" and outcome.result eq "FAILURE"
8 Account Locked - Max sign-in attempts exceeded(アカウントがロックされました - サインインの最大試行回数を超過しました) user.account.lock eventType eq "user.account.lock"
9 Unable to retrieve an access token for the Identity Provider due to error '${error_message}'(エラー「${error_message}」が原因でIDプロバイダーのアクセストークンを取得できません) user.authentication.auth_via_social eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve an access token for the Identity Provider"
10 Unable to retrieve a user profile from the Identity Provider due to error '${error_message}'(エラー「${error_message}」が原因でIDプロバイダーからユーザープロファイルを取得できません) user.authentication.auth_via_social eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve a user profile from the Identity Provider"
11 The UserInfo response from the Identity Provider is invalid: '${error_message}'(IDプロバイダーからのUserInfo応答が無効です:「${error_message}」) user.authentication.auth_via_social eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "The UserInfo response from the Identity Provider is invalid"
12 Account link of incoming subject '${subject_name}' to user '${okta_username}' denied due to group membership restriction '${groups}'(グループメンバーシップの制限「${groups}」により、受信サブジェクト「${subject_name}」からユーザー「${okta_username}」へのアカウントリンクが拒否されました) user.authentication.auth_via_social eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Account link of incoming subject to user denied due to group membership restriction"
13 A bypass of MFA may have been attempted for this user(このユーザーについてMFAのバイパスが試行された可能性があります) user.mfa.attempt_bypass eventType eq "user.mfa.attempt_bypass"
14 User answered recovery question incorrectly for self-service password resete_to_no_matching_key(セルフサービスによるパスワードのリセットでユーザーが入力した復旧質問に対する回答が正しくありませんresete_to_no_matching_key) user.account.reset_password eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User answered recovery question invalid"
15 Self-service password reset attempted for suspended user(使用を停止されているユーザーに対してセルフサービスによるパスワードのリセットが試行されました) user.account.reset_password eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User suspended"
16

Token request for ${grant_type}-${code} rejected for client ${client_id}' with authentication type ${client_auth_type} and scopes [${scopes}] due to reason: ${app_error_code}(理由 ${app_error_code} により、認証タイプが ${client_auth_type} でスコープが [${scopes}] のクライアント ${client_id} に対する ${grant_type}-${code} のトークン要求が却下されました)

Or

Token request for ${grant_type}-${code} rejected for client ${client_id}' with authentication type ${client_auth_type} and scopes [${scopes}] due to reason: ${app_error_code}(理由 ${app_error_code} により、認証タイプが ${client_auth_type} でスコープが [${scopes}] のクライアント ${client_id} に対する ${grant_type}-${refresh_token} のトークン要求が却下されました)

app.oauth2.token.grant eventType eq "app.oauth2.token.grant" and outcome.result eq "FAILURE"
17 Multiple requests with a client id about to be rate limited(複数の要求のクライアントIDがまもなくレート制限を超過します) app.oauth2.client_id_rate_limit_warning eventType eq "app.oauth2.client_id_rate_limit_warning"
18 Multiple requests with invalid client credentials ${client_secrets} for client ${client_id}(複数の要求のクライアントID ${client_id} のクライアント認証情報 ${client_secrets} が無効です) app.oauth2.invalid_client_credentials eventType eq "app.oauth2.invalid_client_credentials"
19 Failed to evaluate claim for OAuth2 token for user ${user_id} with client ${client_id} and 認証サーバー ${authorization_server} due to reason: ${app_error_code}(理由 ${app_error_code} により、クライアント ${client_id} および認証サーバー ${authorization_server} のユーザー ${user_id} に対するOAuth2トークンのクレームを評価できませんでした) app.oauth2.as.evaluate.claim eventType eq "app.oauth2.as.evaluate.claim" and outcome.result eq "FAILURE"
20 OAuth2 token revocation request rejected for client ${client_id} with 認証サーバー ${authorization_server} due to reason: ${app_error_code}(理由 ${app_error_code} により、認証サーバー ${authorization_server} のクライアント ${client_id} に対するOAuth2トークン取り消し要求が却下されました) app.oauth2.as.token.revoke eventType eq "app.oauth2.as.token.revoke" and outcome.result eq "FAILURE"

関連項目

レポート

System Logのフィルターと検索