Search System Logs(システムログを検索)

OrganizationのOktaにあるシステムログからログイベントを検索します。

オプション

フィールド 定義 タイプ 必須
Search By(検索条件) 次のいずれかの検索オプションを選択します。
  • Expression(式): use System for Cross-domain Identity Management(SCIM)フィルター式を使用して、返すオブジェクトのサブセットを指定します。式フィルターは、ログイベント属性値に対する制約を明示的にターゲットにできる構造化クエリを実行する場合に役立ちます。式フィルタリングを使用する場合は、次の点を考慮してください。

    • 大きなオブジェクトコレクション(ユーザーなど)を検索する場合に使用します。

    • null値を含む属性に対してキーワードマッチングを実行した場合、値は返されません。

    フィルタリング」を参照してください。

  • Keyword(キーワード):完全なキーワードマッチングを使用します。クエリパラメータqは、ログイベントオブジェクトの属性値に対してキーワードマッチングを実行するために使用されます。キーワードマッチングを使用する場合は、次の点を考慮してください。

    • 入力したキーワードはすべて完全に一致する必要があります。
    • マッチングでは大文字と小文字が区別されます。
    • ログイベントオブジェクトの属性はキーワードマッチングとして使用できます。
    • null値を含む属性に対してキーワードマッチングを実行した場合、値は返されません。

    キーワード」を参照してください。

ドロップダウン TRUE
Result Set(結果セット)

検索結果をフィルタリングする方式を選択します。

  • [First Matching Record(最初の一致レコード)]:一致する最初のレコードが返されます。
  • First 200 Matching Records(最初に一致する200レコード):最初に一致する200レコードが返されます。
  • [Stream Matching Records(一致レコードのストリーミング)]:一致するすべてのレコードが親フローからヘルパーフローに渡されます。カードに[Streaming(ストリーミング)]入力セクションが追加され、カスタム拡張可能フィールドのストリーミングと追加のためのヘルパーフローを選択できます。
ドロップダウン TRUE
ヒント

多数のレコードを返す方法については、「ヘルパーフローを使ったレコードのストリーミング一致」を参照してください。

入力

フィールド 定義 タイプ 必須
Search By(検索条件) eq演算子を使用してキーと値の各ペアを連結してから、and演算子を使用して各種のキーを結合します。[Custom Filter(カスタムフィルター)]フィールドを使用して独自の式を構築します。それらの事前定義されたフィールドと[Custom Filter(カスタムフィルター)]フィールドは、andで連結します。

システムログ」を参照してください。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

イベントタイプ 公開されたイベントのタイプ。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
[UUID] Webhookイベントの汎用一意識別子。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Display message(表示メッセージ) イベントのメッセージを表示します。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
[Actor ID(アクターID)] アクターの識別子。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Actor display name(アクター表示名) アクターの表示名。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Actor type(アクタータイプ) アクターのタイプ。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Target ID(対象ID) 対象の一意識別子。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Target Display Name(対象の表示名) 対象の表示名。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Target Type(対象タイプ) ターゲットのタイプ。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
[Severity(重大度)] イベントの重大度を示します。
  • DEBUG

  • INFO

  • WARN

  • エラー

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

ドロップダウン FALSE
Custom Filters(カスタムフィルター) ログイベントを検索するための独自のSCIMフィルター式を構築します。

例:

失敗したサインインイベントを検索するには、eventType eq "user.session.start"outcome.result eq "FAILURE"を使用します。

参照してください。

[Search Type(検索タイプ)] オプションで[Expression(式)]を選択した場合に表示されます。

文字列 FALSE
Keyword(キーワード) 1つ以上の正確なキーワードをログイベントの結果をフィルターします。

例:

  • 特定の市町村を検索するには、都市名「サンフランシスコ」を入力します。

  • 特定の個人を検索するには、氏名「姓と名」を入力します。

  • 参照してください。

[Search Type(検索タイプ)] オプションで[Keyword(キーワード)]を選択した場合に表示されます。

文字列 FALSE
[Date(日付)]
Since(開始日時)

ログイベントの[published(公開済み)]プロパティーの時間下限をフィルターします。

将来のタイムスタンプを入力すると、エラーが発生します。このフィールドを未指定のままにした場合、デフォルト値は[Until(終了日時)]の7日前です。

Date and Time(日時) FALSE
Until(終了日時) ログイベントの[published(公開済み)]プロパティーの時間上限をフィルターします。

将来のタイムスタンプを入力するか、このフィールドを未指定のままにした場合、現在のタイムスタンプが終了日時の値と見なされます。

Date and Time(日時) FALSE
Sort (並べ替え)
順序 [published(公開済み)]プロパティーで並べ替えられる、返されるイベントの順序。次の中から選択します。
  • 昇順

  • 降順

ドロップダウン FALSE
Search Criteria(検索条件)
Record Limit(レコード制限)

ストリーミングするレコードの数を指定します。

  • [Limit(限度)]フィールドが0に設定されている場合、レコードは返されません。

  • [Limit(限度)]フィールドが0より大きい値に設定されている場合、0より大きく、指定の最大レコード数以下のレコードが返されます。

  • [Limit(限度)]フィールドが空または選択されていない場合、すべてのレコードがストリーミングされます。

  • デフォルト値は1,000万です。

  • 有効な範囲は0~1,000万です。

[Result Set(結果セット)]オプションで[Stream Matching Records(一致レコードのストリーミング)] が選択されている場合に表示されます。

数値 TRUE
Streaming(ストリーミング)
フロー [Choose Flow(フローの選択)]をクリックし、検索結果がストリーミングされるヘルパーフローを参照および選択して、[Choose(選択)]をクリックして確定します。

オプションとして、[Click or drop here to create(クリックまたはここにドロップして作成)]の下の空のフィールドをクリックし、データをヘルパーフローに渡すカスタム拡張可能フィールドを追加します。これらのフィールドは、ヘルパーフロー内の[State(状態)]出力オブジェクトの下にキーと値のペアとして追加されます。

[Result Set(結果セット)]オプションで[Stream Matching Records(一致レコードのストリーミング)] が選択されている場合に表示されます。

Flow(フロー) TRUE

出力

[Result Set(結果セット)]オプションから[First Matching Record(最初の一致レコード)]または[First 200 Matching Records(最初に一致する200レコード)]が選択されていて、他に特に指定がない場合にフィールドが表示されます。

フィールド 定義 タイプ
Result(結果)
[UUID] 個々のイベントの一意識別子。 文字列
公開済み イベントが公開された日時のタイムスタンプ。 Date and Time(日時)
イベントタイプ 公開されたイベントのタイプ。 文字列
[Severity(重大度)] イベントの重大度を示します。
  • DEBUG

  • INFO

  • WARN

  • エラー

文字列
Display message(表示メッセージ) イベントのメッセージを表示します。 文字列
[Actor(アクター)] アクションを実行するエンティティーを表します。 オブジェクト
ID ユーザー特権を付与したOktaアクターの識別子。 文字列
タイプ Oktaアクターのタイプ。 文字列
Alternate ID(代替ID) Oktaアクターのユーザー名。 文字列
表示名 Oktaアクターの表示名。 文字列
[Target(ターゲット)] アクションの0個以上の対象。 オブジェクトのリスト
[Client(クライアント)] アクションをリクエストしたクライアント。 オブジェクト
ID クライアントの一意の識別子。
  • OAuthリクエストの場合は、リクエストを行っているOAuthクライアントのIDです。「ロール」を参照してください。

  • SSWSトークンリクエストの場合は、リクエストを行っているエージェントのIDです。

文字列
User Agent(ユーザーエージェント) アクションを実行するアクターによって使用されるユーザーエージェント。 オブジェクト
Geographical Context(地理的コンテキスト) クライアントがリクエストを行っている物理的な場所。 オブジェクト
ゾーン クライアントの場所がマッピングされるゾーンの名前。

ゾーン」を参照してください。

文字列
IPアドレス クライアントがリクエストを行っているIPアドレス。 文字列
デバイス クライアントが操作しているデバイスのタイプ。

例:コンピューター

文字列
Request(リクエスト) アクションを開始するリクエスト。 オブジェクト
IPチェーン 受信リクエストがプロキシを通る場合、それらのプロキシのIPアドレスが「clientIp, proxy1, proxy2」の形式でここに保存されます。このフィールドは信頼済みプロキシを使用する場合に役立ちます。 オブジェクトのリスト
Raw Output(未加工出力) Okta APIによって返される未加工の出力。 オブジェクト
Stream Matching Records(一致レコードのストリーミング)
Records Streamed(ストリーミングされたレコード) ストリーミングフロー内でストリーミングされたレコードの数。

[Result Set(結果セット)]オプションで[Stream Matching Records(一致レコードのストリーミング)] が選択されている場合に表示されます。

数値

関連項目

Oktaコネクター

Workflows要素

Oktaコネクターに関するガイダンス

Okta APIドキュメント