Search System Logs(システムログを検索)

組織のOkta内のシステムログからログイベントを検索します。

Scopes(スコープ)

このカードで必要なOAuthスコープのリストは「アクションカード」を参照してください。

オプション

フィールド 定義 タイプ 必須
Search By(検索条件) 次のいずれかの検索オプションを選択します。
  • Expression(式): use System for Cross-domain Identity Management(SCIM)フィルター式を使用して、返すオブジェクトのサブセットを指定します。式フィルターは、ログイベント属性値に対する制約を明示的にターゲットにできる構造化クエリを実行する場合に役立ちます。式フィルタリングを使用する場合は、次の点を考慮してください。

    • 大きなオブジェクトコレクション(ユーザーなど)を検索する場合に使用します。

    • null値を含む属性に対してキーワードマッチングを実行した場合、値は返されません。

    フィルタリング」を参照してください。

  • Keyword(キーワード):完全なキーワードマッチングを使用します。クエリパラメータqは、ログイベントオブジェクトの属性値に対してキーワードマッチングを実行するために使用されます。キーワードマッチングを使用する場合は、次の点を考慮してください。

    • 入力したキーワードはすべて完全に一致する必要があります。
    • マッチングでは大文字と小文字が区別されます。
    • ログイベントオブジェクトの属性はキーワードマッチングとして使用できます。
    • null値を含む属性に対してキーワードマッチングを実行した場合、値は返されません。

    キーワード」を参照してください。

ドロップダウン

TRUE

Result Set(結果セット)

検索結果のフィルタリング方法を選択します。

  • First Matching Record:一致する最初のレコードを返します。

  • First 200 Matching Records:最初に一致する200レコードを返します。

  • Stream Matching Records:一致するすべてのレコードを親フローからヘルパーフローに渡します。

    このオプションを選択すると、ストリーミング用のヘルパーフローを選択したりカスタム拡張可能フィールドを追加したりできる[Streaming(ストリーミング)]入力セクションがカードに追加されます。

ドロップダウン

TRUE

多数のレコードを返す方法については、「ヘルパーフローを使ったレコードのストリーミング一致」を参照してください。

入力

フィールド 定義 タイプ 必須
Search By(検索条件) eq演算子を使用してキーと値の各ペアを連結してから、and演算子を使用して各種のキーを結合します。[Custom Filter(カスタムフィルター)]フィールドを使用して独自の式を構築します。それらの事前定義されたフィールドと[Custom Filter(カスタムフィルター)]フィールドは、andで連結します。

システムログ」を参照してください。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

Event Type(イベントタイプ) 公開されたイベントのタイプ。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

UUID Webhookイベントの汎用一意識別子。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Display message(表示メッセージ) イベントのメッセージを表示します。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Actor ID(アクターID) アクターの識別子。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Actor display name(アクター表示名) アクターの表示名。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Actor type(アクタータイプ) アクターのタイプ。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Target ID(対象ID) 対象の一意識別子。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Target Display Name(対象の表示名) 対象の表示名。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Target Type(対象タイプ) ターゲットのタイプ。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Severity(重大度) イベントの重大度を示します。
  • DEBUG

  • INFO

  • WARN

  • エラー

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

ドロップダウン

FALSE

Custom Filters(カスタムフィルター) ログイベントを検索するための独自のSCIMフィルター式を構築します。

例:

失敗したサインインイベントを検索するには、eventType eq "user.session.start"outcome.result eq "FAILURE"を使用します。

参照してください。

[検索タイプ] オプションで[Expression(式)]を選択した場合に表示されます。

テキスト

FALSE

Keyword(キーワード) 1つ以上の正確なキーワードをログイベントの結果をフィルターします。

例:

  • 特定の市区町村を検索するには、都市名「サンフランシスコ」を入力します。

  • 特定の個人を検索するには、氏名「姓と名」を入力します。

  • 参照してください。

[Search Type(検索タイプ)] オプションで[Keyword(キーワード)]を選択した場合に表示されます。

テキスト

FALSE

Date(日付)

Since(開始日時)

ログイベントの公開済みプロパティの下限時刻をフィルターします。

将来のタイムスタンプを入力すると、エラーが発生します。このフィールドを未指定のままにした場合、デフォルト値は終了日時の7日前です。

日時

FALSE

Until(終了日時) ログイベントの公開済みプロパティの上限時刻をフィルターします。

将来のタイムスタンプを入力するか、このフィールドを未指定のままにした場合、現在のタイムスタンプが終了日時の値と見なされます。

日時

FALSE

Sort(並べ替え)

Order(順序) 公開済みプロパティで並べ替えられる、返されるイベントの順序。次の中から選択します。
  • 昇順

  • 降順

ドロップダウン

FALSE

ストリーミング

Flow(フロー) [Choose Flow(フローの選択)]をクリックして検索結果がストリーミングされるヘルパーフローを参照および選択し、[Choose(選択)]をクリックして確定します。

オプションとして、[Click or drop here to create(クリックまたはここにドロップして作成)]の下の空のフィールドをクリックし、データをヘルパーフローに渡すカスタム拡張可能フィールドを追加します。これらのフィールドは、ヘルパーフロー内の[State(状態)]出力オブジェクトの下にキーと値のペアとして追加されます。

[Result Set(結果セット)]オプションで[Stream Matching Records(一致レコードのストリーミング)] が選択されている場合に表示されます。

Flow(フロー)

TRUE

Search Criteria(検索条件)

Record Limit(レコード制限)

ストリーミングするレコードの数を指定します。

  • フィールドを0未満に設定すると、カードはエラーを返します。

  • フィールドを0または0より大きい値に設定すると、ストリームは指定された最大数までを返します。

  • フィールドを空またはnullにする、または選択しない場合、ストリームは全レコードを返します。

  • デフォルト値は1000000(100万)です。

  • 有効な範囲は01000000です。

このフィールドは、[Result Set(結果セット)]オプションで[一致レコードのストリーミング]を選択した場合に表示されます。

数値

FALSE

Output(出力)

フィールドは、[Result Set(結果セット)]オプションで[最初の一致レコード]または[最初に一致する200レコード]が選択され、他に特に指定がない場合に表示されます。

フィールド 定義 タイプ

結果

UUID

個々のイベントの一意識別子。

テキスト

Published(公開済み)

イベントが公開された日時のタイムスタンプ。

日時

Event Type(イベントタイプ)

公開されたイベントのタイプ。

テキスト

Severity(重大度) イベントの重大度を示します。
  • DEBUG

  • INFO

  • WARN

  • ERROR

テキスト

Display message(表示メッセージ)

イベントのメッセージを表示します。

テキスト

Actor(アクター)

アクションを実行するエンティティーを表します。

オブジェクト

ID

ユーザー特権を付与したOktaアクターの識別子。

テキスト

タイプ Oktaアクターのタイプ。

テキスト

Alternate ID(代替ID) Oktaアクターのユーザー名。

テキスト

Display Name(表示名) Oktaアクターの表示名。

テキスト

Target(対象)

アクションの0個以上の対象。

オブジェクトのリスト

Client(クライアント)

アクションをリクエストしたクライアント。

オブジェクト

ID クライアントの一意の識別子。
  • OAuthリクエストの場合は、リクエストを行っているOAuthクライアントのIDです。「ロール」を参照してください。

  • SSWSトークンリクエストの場合は、リクエストを行っているエージェントのIDです。

テキスト

User Agent(ユーザーエージェント)

アクションを実行するアクターによって使用されるユーザーエージェント。

オブジェクト

Geographical Context(地理的コンテキスト)

クライアントがリクエストを行っている物理的な場所。

オブジェクト

Zone(ゾーン) クライアントの場所がマッピングされるゾーンの名前。

ゾーン」を参照してください。

テキスト

IP Address(IPアドレス)

クライアントがリクエストを行っているIPアドレス。

テキスト

Device(デバイス) クライアントが操作しているデバイスのタイプ。

例:コンピューター

テキスト

Request(リクエスト)

アクションを開始するリクエスト。

オブジェクト

IP Chain(IPチェーン)

受信リクエストがプロキシを通る場合、それらのプロキシのIPアドレスが「clientIp, proxy1, proxy2」の形式でここに保存されます。このフィールドは信頼済みプロキシを使用する場合に役立ちます。

オブジェクトのリスト

Raw Output(未加工出力)

Okta APIによって返される未加工の出力。

オブジェクト

Stream Matching Records(一致レコードのストリーミング)

Records Streamed(ストリーミングされたレコード)

ストリーミングフロー内でストリーミングされたレコードの数。

このフィールドは、[Result Set(結果セット)]オプションで[Stream Matching Records]を選択した場合に表示されます。

数値

関連項目

Oktaコネクター

Workflows要素

Oktaコネクターに関するガイダンス

Okta APIドキュメント