実行ログストリーミングを構成する

早期アクセスリリース

詳細な実行ログをSIEMシステムにストリーミングするようにOkta Workflowsを構成することで、より詳細な分析を実行し、フローに関連するアクティビティのアラートを作成できます。

開始する前に

  • Okta Workflows orgの実行ログストリーミング機能を有効にするには、スーパー管理者権限が必要です。

  • サービスが取り込むためのストリーミングイベントの構成に関するガイダンスについては、SIEMシステムのドキュメントを参照してください。

このタスクを開始する

  1. Workflowsコンソール[設定]タブを開きます。

  2. [Execution log streaming(実行ログストリーミング)]タブで[Edit(編集)]をクリックし、構成を変更します。

  3. トグルを使って[Enable execution log streaming(実行ログストリーミングを有効化)]に切り替えます。

  4. SIEM受信者の取り込みポイントの完全修飾ドメイン名とパスをURLフィールドに入力します。URLのプロトコルとポート情報の指定が必要になる場合もあります。

    たとえば、SplunkのHTTPイベントコレクターであれば、次の形式を指定します:<protocol>://http-inputs-<host>.splunkcloud.com:<port>/<endpoint>

  5. SIEM受信者に送信するイベントを選択します。各レコードには、Base Schemaに指定したフィールドとイベント固有のすべてのメタデータが含まれます。

    イベントに関連付けられているメールアドレスは、セキュリティのためにハッシュ値として表示されます。

    イベント名

    説明

    All(すべて)

    フローに関連するすべてのメタデータ。

    Started(開始済み)

    フローの開始条件に関連するメタデータ。

    Completed(完了)

    フローの完了時に記録されるメタデータイベント。

    Failed(失敗)

    フローの失敗に関するすべてのメタデータ。

    Canceled(キャンセル)

    キャンセルされたフローのすべてのメタデータ。

    Throttled(スロットル)

    スロットル状態になるフローのメタデータイベントが記録されます。

    これらの各イベントタイプで送信されるメタデータの詳細については、「実行ログストリーミングのイベントメタデータ」を参照してください。

  6. [Authorization header (encrypted)(承認ヘッダー(暗号化))]セクションには、イベントのストリーミング時にSIEMとの接続の認証に必要なキー/値ペアを入力します。これは、暗号化された情報としてリクエストとともにSIEMエンドポイントに送信されます。

  7. 必要に応じて、ストリーミングイベントの一部として含める必要があるキー/値ペアの[Other custom headers(その他のカスタムヘッダー)]セクションを使用します。これらのカスタムヘッダーは暗号化されません。

  8. SIEM受信者が、各イベント本文の特別なラッピングを必要とする場合は、[Custom event body (Optional)(カスタムイベント本文(任意))]フィールドを使用します。想定される本文形式と一致させるために必要なJSON形式を含めます。"${event}"(引用符も必要)をフィールドに指定して、Okta Workflowsがイベントデータを挿入する場所を示します。たとえば、Splunkであれば、各イベントは次の形式である必要があります。

    コピー 
    {
      "event": "${event}"
    }

    カスタムイベント本文のリセットが必要なときは、[Use default event body(デフォルトのイベント本文を使用)]をクリックして基本形式に戻ります。

  9. [Save(保存)]をクリックして設定を確定します。

  10. 構成が完了したら、[Send test event(テストイベントを送信)]をクリックしてストリーミングイベントの例を確認します。

  11. [Send(送信)]をクリックしてサンプルペイロードを送信し、SIEM受信者からのレスポンスを確認します。

  12. フローを呼び出すと(API呼び出し、またはフロービルダーのインターフェイスを使用)、Okta WorkflowsはロギングされたイベントをSIEM受信者に送信します。SIEMクライアントインターフェイスに移動して、ロギングされたイベントが表示されることを検証します。

制限事項と既知の問題

  • SIEM受信者に渡すことができる実行イベントの総数には上限があります。

  • イベントにはorg IDとユーザーIDは含まれません。これらの値を含めるには、それぞれを個別のキー/値ペアとして構成します。

関連リンク

個々のフローの実行ログストリーミングを管理する

実行ログストリーミングのイベントメタデータ