IBM Security Verify API를 통한 이벤트 로그 다운로드
개시하다
IBM Security Verify에서는 인증 작업 등의 로그가 90일 동안 보관됩니다.
90일이 넘으면 로그가 삭제되기 때문에 로그를 다운로드하는 방법을 소개한다.
API 참조
API 참조는 다음 URL을 통해 확인할 수 있습니다.
https:/<자신의 룸메이트 이름>.verify.ibm.com/developer/explorer/#
API 참조는 다음 URL을 통해 확인할 수 있습니다.
https:/<자신의 룸메이트 이름>.verify.ibm.com/developer/explorer/#
1. IBM Security Verify에 API 클라이언트 등록
OAuth 액세스 토큰을 가져올 클라이언트 ID 및 클라이언트 기밀 키를 준비합니다.
브라우저를 통해 IBM Security Verify 관리 화면에 액세스할 수 있습니다.
https:/<자신의 룸메이트 이름>.verify.ibm.com/ui/admin
구성 - API 클라이언트 탭을 열고 API 클라이언트를 추가합니다.
자격 선택은 다음과 같다.
2. 이벤트 로그의 종류와 다운로드 시 고려 사항
화면을 관리하는 보고서(인증 활동 등)와 마찬가지로 행사는 종류가 있다.
다운로드할 이벤트 유형을 지정할 수 있습니다.
다운로드는 한 번의 요청 수량에 제한이 있음을 주의하십시오.
3. 이벤트 로그 획득 방법
활동 로그는 get/v1입니다.0/events를 사용하여 다운로드할 수 있습니다.로그 형식은 JSON 형식입니다.curl -i -X GET https://<テナント名>.verify.ibm.com/v1.0/events --header "Authorization: Bearer <アクセストークン>"
응답 코드는 200입니다.
이벤트 로그는 JSON으로 출력됩니다.
4. 각 이벤트 로그에 대한 샘플
이벤트 로그의 종류에 따라 견본을 보다.
①SSO
프로그램의 단일 로그인과 관련된 로그를 출력합니다.
다음은 사용자 정의 응용 프로그램, SAML 협업을 등록할 때의 로그입니다.{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"result": "success",
"subtype": "saml",
"providerid": "verify-app",
"origin": "xx.xx.xx.xx",
"realm": "cloudIdentityRealm",
"samlassertion": "<saml:Assertion ~~~</saml:Assertion>",
"applicationid": "xx",
"userid": "xxxxxxxxxx",
"applicationtype": "Custom Application",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36",
"username": "xxxxxxxx",
"applicationname": "SAML application service provider(Bluemix)"
},
"year": 2021,
"event_type": "sso",
"month": 5,
"indexed_at": 1621910104424,
"@processing_time": 155,
"tenantid": "xx-xx-xx-xx-xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "Cxx",
"servicename": "saml_runtime",
"id": "xx",
"time": 1621910104269,
"application_info": {
"name": "SAML application service provider(Bluemix)",
"type": "Custom Application"
},
"day": 25
}
②Authentication
인증에 대한 로그를 출력합니다.
다음은 Cloud Directory에 사용자 ID/비밀번호로 로그인한 후 성공한 로그입니다.{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"result": "success",
"subtype": "user_password",
"subject": "xx",
"origin": "xx.xx.xx.xx",
"cause": "Authentication Successful",
"action": "login",
"sourcetype": "clouddirectory",
"realm": "cloudIdentityRealm",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0",
"target": "https://xx.verify.ibm.com/oidc/endpoint/default/authorize?qsId=x&client_id=xx_browser-user",
"username": "xxx"
},
"year": 2021,
"event_type": "authentication",
"month": 5,
"indexed_at": 1622494417954,
"@processing_time": 13,
"tenantid": "xx-xx-xx-xx-xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "xx",
"servicename": "authsvc",
"id": "xx",
"time": 1622494417941,
"day": 31
}
다음은 SMS OPP를 통한 두 가지 요소 인증, 성공 시 로그입니다.{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"result": "success",
"mfamethod": "SMS OTP",
"subtype": "mfa",
"subject": "xx",
"origin": "xx.xx.xx.xx",
"realm": "cloudIdentityRealm",
"mfadevice": "81-80-xxxx-xxxx",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36",
"username": "testuser03",
"target": "https://xx.verify.ibm.com/saml/sps/auth?themeId=xx&stateid=xx"
},
"year": 2021,
"event_type": "authentication",
"month": 5,
"indexed_at": 1621910102564,
"@processing_time": 36,
"tenantid": "xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "xx",
"servicename": "authsvc",
"id": "xx",
"time": 1621910102528,
"day": 25
}
③Management
관리 시스템 작업에 대한 로그를 출력합니다.
다음은 Cloud Directory에 새로 등록된 사용자(testuser03)의 로그입니다.{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"targetid_realm": "cloudIdentityRealm",
"api_grant_type": "authorization_code",
"targetid_username": "testuser03",
"performedby_type": "user",
"targetid": "xx",
"userinfo_lookup": "performedby;targetid",
"resource": "user",
"origin": "xx.xx.xx.xx",
"performedby_username": "xx",
"cause": "\"testuser03\" を作成しました。",
"messageid": "システムはユーザー",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0",
"performedby_realm": "cloudIdentityRealm",
"target": "testuser03",
"result": "success",
"performedby": "xx",
"json": "{\"emails\":[{\"type\":\"work\",\"value\":\"[email protected]\"}],\"password\":\"********\",\"addresses\":[{\"type\":\"work\",\"primary\":false}],\"urn:ietf:params:scim:schemas:extension:ibm:2.0:Notification\":{\"notifyType\":\"EMAIL\",\"notifyManager\":false,\"notifyPassword\":true},\"schemas\":[\"urn:ietf:params:scim:schemas:core:2.0:User\",\"urn:ietf:params:scim:schemas:extension:ibm:2.0:User\",\"urn:ietf:params:scim:schemas:extension:ibm:2.0:Notification\"],\"name\":{\"familyName\":\"user03\",\"givenName\":\"test\"},\"urn:ietf:params:scim:schemas:extension:ibm:2.0:User\":{\"userCategory\":\"regular\",\"twoFactorAuthentication\":false,\"realm\":\"cloudIdentityRealm\",\"customAttributes\":[]},\"active\":true,\"userName\":\"testuser03\"}",
"self": "false",
"action": "created",
"location": "https://xx.verify.ibm.com/v2.0/Users",
"realm": "cloudIdentityRealm"
},
"year": 2021,
"event_type": "management",
"month": 5,
"indexed_at": 1622496563088,
"@processing_time": 30,
"tenantid": "xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "xx",
"servicename": "profilemgmt",
"id": "xx",
"time": 1622496563058,
"day": 31
}
최후
이번에는 이벤트 로그의 다운로드 방법과 로그 샘플을 소개했다.
IBM의 SIEM 제품인 IBM QRadar에서도 로그를 보관할 수 있습니다.
글로벌 커뮤니티 글은 영어지만 화면을 캡처한 해설이 있어 이해하기 쉽다.
참조해주세요.
curl -i -X GET https://<テナント名>.verify.ibm.com/v1.0/events --header "Authorization: Bearer <アクセストークン>"
이벤트 로그의 종류에 따라 견본을 보다.
①SSO
프로그램의 단일 로그인과 관련된 로그를 출력합니다.
다음은 사용자 정의 응용 프로그램, SAML 협업을 등록할 때의 로그입니다.
{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"result": "success",
"subtype": "saml",
"providerid": "verify-app",
"origin": "xx.xx.xx.xx",
"realm": "cloudIdentityRealm",
"samlassertion": "<saml:Assertion ~~~</saml:Assertion>",
"applicationid": "xx",
"userid": "xxxxxxxxxx",
"applicationtype": "Custom Application",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36",
"username": "xxxxxxxx",
"applicationname": "SAML application service provider(Bluemix)"
},
"year": 2021,
"event_type": "sso",
"month": 5,
"indexed_at": 1621910104424,
"@processing_time": 155,
"tenantid": "xx-xx-xx-xx-xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "Cxx",
"servicename": "saml_runtime",
"id": "xx",
"time": 1621910104269,
"application_info": {
"name": "SAML application service provider(Bluemix)",
"type": "Custom Application"
},
"day": 25
}
②Authentication인증에 대한 로그를 출력합니다.
다음은 Cloud Directory에 사용자 ID/비밀번호로 로그인한 후 성공한 로그입니다.
{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"result": "success",
"subtype": "user_password",
"subject": "xx",
"origin": "xx.xx.xx.xx",
"cause": "Authentication Successful",
"action": "login",
"sourcetype": "clouddirectory",
"realm": "cloudIdentityRealm",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0",
"target": "https://xx.verify.ibm.com/oidc/endpoint/default/authorize?qsId=x&client_id=xx_browser-user",
"username": "xxx"
},
"year": 2021,
"event_type": "authentication",
"month": 5,
"indexed_at": 1622494417954,
"@processing_time": 13,
"tenantid": "xx-xx-xx-xx-xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "xx",
"servicename": "authsvc",
"id": "xx",
"time": 1622494417941,
"day": 31
}
다음은 SMS OPP를 통한 두 가지 요소 인증, 성공 시 로그입니다.{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"result": "success",
"mfamethod": "SMS OTP",
"subtype": "mfa",
"subject": "xx",
"origin": "xx.xx.xx.xx",
"realm": "cloudIdentityRealm",
"mfadevice": "81-80-xxxx-xxxx",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36",
"username": "testuser03",
"target": "https://xx.verify.ibm.com/saml/sps/auth?themeId=xx&stateid=xx"
},
"year": 2021,
"event_type": "authentication",
"month": 5,
"indexed_at": 1621910102564,
"@processing_time": 36,
"tenantid": "xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "xx",
"servicename": "authsvc",
"id": "xx",
"time": 1621910102528,
"day": 25
}
③Management관리 시스템 작업에 대한 로그를 출력합니다.
다음은 Cloud Directory에 새로 등록된 사용자(testuser03)의 로그입니다.
{
"geoip": {
"continent_name": "Asia",
"city_name": "Tokyo",
"country_iso_code": "JP",
"country_name": "Japan",
"region_name": "Tokyo",
"location": {
"lon": "xx.xx",
"lat": "xx.xx"
}
},
"data": {
"targetid_realm": "cloudIdentityRealm",
"api_grant_type": "authorization_code",
"targetid_username": "testuser03",
"performedby_type": "user",
"targetid": "xx",
"userinfo_lookup": "performedby;targetid",
"resource": "user",
"origin": "xx.xx.xx.xx",
"performedby_username": "xx",
"cause": "\"testuser03\" を作成しました。",
"messageid": "システムはユーザー",
"devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0",
"performedby_realm": "cloudIdentityRealm",
"target": "testuser03",
"result": "success",
"performedby": "xx",
"json": "{\"emails\":[{\"type\":\"work\",\"value\":\"[email protected]\"}],\"password\":\"********\",\"addresses\":[{\"type\":\"work\",\"primary\":false}],\"urn:ietf:params:scim:schemas:extension:ibm:2.0:Notification\":{\"notifyType\":\"EMAIL\",\"notifyManager\":false,\"notifyPassword\":true},\"schemas\":[\"urn:ietf:params:scim:schemas:core:2.0:User\",\"urn:ietf:params:scim:schemas:extension:ibm:2.0:User\",\"urn:ietf:params:scim:schemas:extension:ibm:2.0:Notification\"],\"name\":{\"familyName\":\"user03\",\"givenName\":\"test\"},\"urn:ietf:params:scim:schemas:extension:ibm:2.0:User\":{\"userCategory\":\"regular\",\"twoFactorAuthentication\":false,\"realm\":\"cloudIdentityRealm\",\"customAttributes\":[]},\"active\":true,\"userName\":\"testuser03\"}",
"self": "false",
"action": "created",
"location": "https://xx.verify.ibm.com/v2.0/Users",
"realm": "cloudIdentityRealm"
},
"year": 2021,
"event_type": "management",
"month": 5,
"indexed_at": 1622496563088,
"@processing_time": 30,
"tenantid": "xx",
"tenantname": "xx.verify.ibm.com",
"correlationid": "xx",
"servicename": "profilemgmt",
"id": "xx",
"time": 1622496563058,
"day": 31
}
최후
이번에는 이벤트 로그의 다운로드 방법과 로그 샘플을 소개했다.
IBM의 SIEM 제품인 IBM QRadar에서도 로그를 보관할 수 있습니다.
글로벌 커뮤니티 글은 영어지만 화면을 캡처한 해설이 있어 이해하기 쉽다.
참조해주세요.
(참조) IBM Security Verify 브로셔
(참조) Integrating QRadar and IBM Security Verify for Recipe
Reference
이 문제에 관하여(IBM Security Verify API를 통한 이벤트 로그 다운로드), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/fitz/items/4f8731c8a91ffe632b49텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)