Identity Cloud Service 감사 로그를 Oracle Management Cloud로 분석

Oracle Cloud infrastructure에서 IAM의 로컬 사용자가 아닌 동기화된 사용자를 사용하는 경우 로그온 정보는 IDCS(identity Cloud Service) 보고서에서 볼 수 있습니다.

IDCS 보고서 화면

이 섹션에서는 IDCS에서 REST API로 JSON 형식의 감사 로그를 검색하고 OMC 측으로 가져 와서 다음과 같은 기존 GUI에 표시되지 않는 정보와 자세한 분석 화면을 만드는 절차를 소개합니다.

OMC에서 IDCS 감사 로그를 캡처 한 대시 보드

IDCS에 REST API의 액세스 가능한 설정 추가

IDCS 콘솔에서 응용 프로그램 아이콘을 클릭합니다.

기밀 응용 프로그램 추가

다른 이름으로 클릭

클라이언트 자격 증명을 확인하고 "Identity Cloud Service 관리자에 대한 클라이언트 액세스 권한 부여"항목에서 Identity Domain Administrator 추가

다음을 클릭하여 마침내 만들기

다음 화면이 팝업되므로 클라이언트 ID와 클라이언트 비밀을 기록하십시오. 생성 후 오른쪽 상단 활성화를 잊지 않고 실행

REST API로 IDCS에서 감사 로그 얻기

#IDCSからアクセストークンを取得する
curl -k -X POST -u "クライアントID:クライアント・シークレット" -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" https://IDCSアドレス/oauth2/v1/token -d "grant_type=client_credentials&scope=urn:opc:idm:__myscopes__"

#実行例
クライアント・シークレット
curl -k -X POST -u "d05c80cfe7154be1ad7193ee92330123:0000000-0000-0000-0000-000000000000" -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" https://idcs-baa6d43cf10d4f9128b9fa2a7b3a11dff.identity.oraclecloud.com/oauth2/v1/token -d "grant_type=client_credentials&scope=urn:opc:idm:__myscopes__"

#コマンドが成功するとアクセストークンが返ってくる
{"access_token":"アクセストークン(約4KB)","token_type":"Bearer","expires_in":3600}

#IDCSから監査ログを抽出する
curl -k -X GET -H "Content-Type:application/json" -H "Authorization: Bearer アクセストークン" "https://IDCSアドレス/admin/v1/AuditEvents?count=1000&sortBy=timestamp&sortOrder=descending&filter=eventId%20sw%20%22sso%22timestamp%20ge%20%開始時間%22and%20timestamp%20le%20%22終了時間%22&attributeSets=all"

#実行例
curl -k -X GET -H "Content-Type:application/json" -H "Authorization: Bearer アクセストークン " "https://idcs-baa6d43cf10d4f978b9fa2a7b3a11dee.identity.oraclecloud.com/admin/v1/AuditEvents?count=1000&sortBy=timestamp&sortOrder=descending&filter=eventId%20sw%20%22sso%22timestamp%20ge%20%222020-02-02T15:00:00.000Z%22and%20timestamp%20le%20%222020-02-03T15:00:00.0Z%22&attributeSets=all" > idcsaudit.json

※count(ログ件数)は最大1000まで。fileterは対象の監査ログの条件を指定することができる。URLエンコードでの記述が必要。日時はUTC。

자세한 내용은 IDCS REST API 문서를 참조하십시오.

OMC에 IDCS 감사 로그 업로드

IDCS 사용자 정의 파서 다운로드
htps : // 기주 b. 이 m / ぇ s r 24 / mc4 shi / 등 w / ms r / DCS_ kus와 m_ ぉ g 그렇게 r하자. 지 p

OMC에 사용자 정의 파서 업로드

OMC에 감사 로그 업로드
idcsaudit.json 파일을 아래 링크를 참조하여 수동으로 업로드
htps : // m / u / s r 24 / ms / 1d00475d0f0b8c2b0f9
※ 로그 소스 연결에서는 IDCS Custom Audit Log 선택 (IDCS Audit API Logs가 아님)

OMC에 의한 분석

로그인 로그아웃의 변화. EventID로 그룹화하고 다음을 지정합니다.

sso.session.create.success (로그인)

sso.session.delete.success (로그 오프)

sso.authentication.failure (로그인 실패)

로그인 실패 사용자. X축 actorName, EventID는 sso.authentication.failure를 지정

클라이언트 IP. Host Address (Client)를 그룹화 기준으로 설정

OMC는 IP 주소에서 역방향으로 국가와 도시 정보를 끌어올 수 있습니다. 그룹화 기준에 따라 Client Host Country와 Client Host City에서 어느 위치에서 액세스했는지까지 확인할 수 있습니다.


OCI의 IAM의 로컬 사용자로 로그인하면 OCI의 Audit 측에 출력되므로 OCI의 감사 로그와 함께 하나의 대시보드로 구성하는 것이 좋을 수 있습니다.

Oracle Cloud Infrastructure 감사 로그를 Oracle Management Cloud로 분석

Oracle Management Cloud 관련 정보는 여기