以下の流れで Okta の監査ログを取り込みます。
- Okta コンソールでログ取得用のトークンを発行
- 発行したトークンを使い Fetch スクリプトでログ取得の API を叩く
- API で取得したログを S3 へ出力
- S3 へのオブジェクト配置で es-loader がキックされ OpenSearch へロード
こちら の Fetch スクリプトを使用し、Okta のログ取得を行います。
Fetch スクリプト側の README に記載してあります。
log-intra-audit-okta と log-audit-saas の Index Pattern をコンソールなどで別途生成する必要があります。
PUT _component_template/component_template_log-intra-audit-okta
{
"template": {
"mappings": {
"properties": {
"okta.client.ip": {
"type": "ip"
},
"okta.security_context.as.number": {
"type": "long"
},
"okta.security_context.as.organization.name": {
"fields": {
"text": {
"type": "text"
}
},
"type": "keyword"
}
}
},
"aliases":{
"log-intra-audit-okta":{},
"log-audit-saas": {}
}
}
}PUT _index_template/log-intra-okta-audit
{
"index_patterns": [
"log-intra-audit-okta-*"
],
"composed_of": [
"component_template_log",
"component_template_log-intra-audit-okta"
]
}