Identity Cloud Service 감사 로그를 Oracle Management Cloud로 분석

6792 단어 관리OMCoraclecloud
Oracle Cloud infrastructure에서 IAM의 로컬 사용자가 아닌 동기화된 사용자를 사용하는 경우 로그온 정보는 IDCS(identity Cloud Service) 보고서에서 볼 수 있습니다.
  • IDCS 보고서 화면


  • 이 섹션에서는 IDCS에서 REST API로 JSON 형식의 감사 로그를 검색하고 OMC 측으로 가져 와서 다음과 같은 기존 GUI에 표시되지 않는 정보와 자세한 분석 화면을 만드는 절차를 소개합니다.
  • OMC에서 IDCS 감사 로그를 캡처 한 대시 보드


  • IDCS에 REST API의 액세스 가능한 설정 추가


  • IDCS 콘솔에서 응용 프로그램 아이콘을 클릭합니다.
  • 기밀 응용 프로그램 추가
  • 다른 이름으로 클릭
  • 클라이언트 자격 증명을 확인하고 "Identity Cloud Service 관리자에 대한 클라이언트 액세스 권한 부여"항목에서 Identity Domain Administrator 추가

  • 다음을 클릭하여 마침내 만들기
  • 다음 화면이 팝업되므로 클라이언트 ID와 클라이언트 비밀을 기록하십시오. 생성 후 오른쪽 상단 활성화를 잊지 않고 실행

  • REST API로 IDCS에서 감사 로그 얻기


    #IDCSからアクセストークンを取得する
    curl -k -X POST -u "クライアントID:クライアント・シークレット" -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" https://IDCSアドレス/oauth2/v1/token -d "grant_type=client_credentials&scope=urn:opc:idm:__myscopes__"
    
    #実行例
    クライアント・シークレット
    curl -k -X POST -u "d05c80cfe7154be1ad7193ee92330123:0000000-0000-0000-0000-000000000000" -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" https://idcs-baa6d43cf10d4f9128b9fa2a7b3a11dff.identity.oraclecloud.com/oauth2/v1/token -d "grant_type=client_credentials&scope=urn:opc:idm:__myscopes__"
    
    #コマンドが成功するとアクセストークンが返ってくる
    {"access_token":"アクセストークン(約4KB)","token_type":"Bearer","expires_in":3600}
    
    #IDCSから監査ログを抽出する
    curl -k -X GET -H "Content-Type:application/json" -H "Authorization: Bearer アクセストークン" "https://IDCSアドレス/admin/v1/AuditEvents?count=1000&sortBy=timestamp&sortOrder=descending&filter=eventId%20sw%20%22sso%22timestamp%20ge%20%開始時間%22and%20timestamp%20le%20%22終了時間%22&attributeSets=all"
    
    #実行例
    curl -k -X GET -H "Content-Type:application/json" -H "Authorization: Bearer アクセストークン " "https://idcs-baa6d43cf10d4f978b9fa2a7b3a11dee.identity.oraclecloud.com/admin/v1/AuditEvents?count=1000&sortBy=timestamp&sortOrder=descending&filter=eventId%20sw%20%22sso%22timestamp%20ge%20%222020-02-02T15:00:00.000Z%22and%20timestamp%20le%20%222020-02-03T15:00:00.0Z%22&attributeSets=all" > idcsaudit.json
    
    ※count(ログ件数)は最大1000まで。fileterは対象の監査ログの条件を指定することができる。URLエンコードでの記述が必要。日時はUTC。
    
    

    자세한 내용은 IDCS REST API 문서를 참조하십시오.

    OMC에 IDCS 감사 로그 업로드



    IDCS 사용자 정의 파서 다운로드
    htps : // 기주 b. 이 m / ぇ s r 24 / mc4 shi / 등 w / ms r / DCS_ kus와 m_ ぉ g 그렇게 r하자. 지 p
  • OMC에 사용자 정의 파서 업로드

  • OMC에 감사 로그 업로드
    idcsaudit.json 파일을 아래 링크를 참조하여 수동으로 업로드
    htps : // m / u / s r 24 / ms / 1d00475d0f0b8c2b0f9
    ※ 로그 소스 연결에서는 IDCS Custom Audit Log 선택 (IDCS Audit API Logs가 아님)

  • OMC에 의한 분석



  • 로그인 로그아웃의 변화. EventID로 그룹화하고 다음을 지정합니다.
  • sso.session.create.success (로그인)
  • sso.session.delete.success (로그 오프)
  • sso.authentication.failure (로그인 실패)


  • 로그인 실패 사용자. X축 actorName, EventID는 sso.authentication.failure를 지정
  • 클라이언트 IP. Host Address (Client)를 그룹화 기준으로 설정

  • OMC는 IP 주소에서 역방향으로 국가와 도시 정보를 끌어올 수 있습니다. 그룹화 기준에 따라 Client Host Country와 Client Host City에서 어느 위치에서 액세스했는지까지 확인할 수 있습니다.


    OCI의 IAM의 로컬 사용자로 로그인하면 OCI의 Audit 측에 출력되므로 OCI의 감사 로그와 함께 하나의 대시보드로 구성하는 것이 좋을 수 있습니다.

    Oracle Cloud Infrastructure 감사 로그를 Oracle Management Cloud로 분석

    Oracle Management Cloud 관련 정보는 여기

    좋은 웹페이지 즐겨찾기