实体分析输入
编辑实体分析输入
编辑此功能处于技术预览阶段,可能在将来的版本中发生更改或被移除。Elastic 将致力于修复任何问题,但技术预览中的功能不受正式 GA 功能的支持 SLA 的约束。
实体分析输入收集来自外部身份提供者的身份资产,例如用户。
支持以下身份提供程序
配置选项
编辑entity-analytics 输入支持以下配置选项以及稍后描述的常用选项。
provider
编辑身份提供程序。必须是以下之一:activedirectory、azure-ad 或 okta。
常用选项
编辑所有输入都支持以下配置选项。
enabled
编辑使用 enabled 选项启用和禁用输入。默认情况下,enabled 设置为 true。
tags
编辑Filebeat 在每个发布事件的 tags 字段中包含的一组标签。标签可以轻松地在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤。这些标签将附加到在常规配置中指定的标签列表中。
示例
filebeat.inputs: - type: entity-analytics . . . tags: ["json"]
fields
编辑您可以指定的可选字段,以向输出添加其他信息。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。
filebeat.inputs:
- type: entity-analytics
. . .
fields:
app_id: query_engine_12
fields_under_root
编辑如果将此选项设置为 true,则自定义fields 将存储在输出文档中的顶级字段中,而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
processors
编辑要应用于输入数据的处理器列表。
有关在配置中指定处理器的信息,请参阅处理器。
pipeline
编辑为此输入生成的事件设置的摄取管道 ID。
管道 ID 也可以在 Elasticsearch 输出中配置,但此选项通常会导致更简单的配置文件。如果在输入和输出中都配置了管道,则使用输入中的选项。
keep_null
编辑如果将此选项设置为 true,则输出文档中将发布具有 null 值的字段。默认情况下,keep_null 设置为 false。
index
编辑如果存在,此格式化字符串将覆盖此输入事件的索引(对于 elasticsearch 输出),或设置事件元数据的 raw_index 字段(对于其他输出)。此字符串只能引用代理名称和版本以及事件时间戳;要访问动态字段,请使用 output.elasticsearch.index 或处理器。
示例值:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能扩展为 "filebeat-myindex-2019.11.01"。
publisher_pipeline.disable_host
编辑默认情况下,所有事件都包含 host.name。此选项可以设置为 true 以禁用将此字段添加到所有事件。默认值为 false。
提供程序
编辑Active Directory (activedirectory)
编辑activedirectory 提供程序允许输入从 Active Directory 检索用户及其组成员身份。
设置
编辑必须在 Active Directory 服务器管理器中设置具有适当权限的用户,才能使提供程序正常运行。
工作原理
编辑概述
编辑Active Directory 提供程序定期查询 Active Directory 服务器,检索用户和组的更新,更新其用户和组元数据以及组成员身份信息的内部缓存,并将更新的用户元数据发送到 Elasticsearch。
获取和发送更新发生在以下两个流程之一:完全同步 和 增量更新。完全同步将发送用户和组成员身份的完整列表,以及写入标记以指示同步事件的开始和结束。增量更新仅发送该事件期间更改的用户的数据。用户的更改可以有多种形式,例如用户元数据更改、用户添加或修改,或者组成员身份更改。
将用户和设备元数据发送到 Elasticsearch
编辑在完全同步期间,将所有存储在状态中的用户和组发送到输出,而增量更新仅发送已更新的用户和组。完全同步将以写入标记文档为界,这些文档看起来像这样
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "started",
"start": "2022-11-04T09:57:19.786056-05:00"
},
"labels": {
"identity_source": "activedirectory-1"
}
}
用户文档将显示用户的当前状态。
示例用户文档
{
"@timestamp": "2024-02-05T06:37:40.876026-05:00",
"event": {
"action": "user-discovered",
},
"activedirectory": {
"id": "CN=Guest,CN=Users,DC=testserver,DC=local",
"user": {
"accountExpires": "2185-07-21T23:34:33.709551516Z",
"badPasswordTime": "0",
"badPwdCount": "0",
"cn": "Guest",
"codePage": "0",
"countryCode": "0",
"dSCorePropagationData": [
"2024-01-22T06:37:40Z",
"1601-01-01T00:00:01Z"
],
"description": "Built-in account for guest access to the computer/domain",
"distinguishedName": "CN=Guest,CN=Users,DC=testserver,DC=local",
"instanceType": "4",
"isCriticalSystemObject": true,
"lastLogoff": "0",
"lastLogon": "2185-07-21T23:34:33.709551616Z",
"logonCount": "0",
"memberOf": "CN=Guests,CN=Builtin,DC=testserver,DC=local",
"name": "Guest",
"objectCategory": "CN=Person,CN=Schema,CN=Configuration,DC=testserver,DC=local",
"objectClass": [
"top",
"person",
"organizationalPerson",
"user"
],
"objectGUID": "hSt/40XJQU6cf+J2XoYMHw==",
"objectSid": "AQUAAAAAAAUVAAAA0JU2Fq1k30YZ7UPx9QEAAA==",
"primaryGroupID": "514",
"pwdLastSet": "2185-07-21T23:34:33.709551616Z",
"sAMAccountName": "Guest",
"sAMAccountType": "805306368",
"uSNChanged": "8197",
"uSNCreated": "8197",
"userAccountControl": "66082",
"whenChanged": "2024-01-22T06:36:59Z",
"whenCreated": "2024-01-22T06:36:59Z"
},
"whenChanged": "2024-01-22T06:36:59Z"
},
"user": {
"id": "CN=Guest,CN=Users,DC=testserver,DC=local"
},
"labels": {
"identity_source": "activedirectory-1"
}
}
配置
编辑示例配置
filebeat.inputs: - type: entity-analytics enabled: true id: activedirectory-1 provider: activedirectory sync_interval: "12h" update_interval: "30m" ad_url: "ldaps://host.domain.tld" ad_base_dn: "CN=Users,DC=SERVER,DC=DOMAIN" ad_user: "USERNAME" ad_password: "PASSWORD"
azure-ad 提供程序支持以下配置
ad_url
编辑Active Directory 服务器 URL。必填字段。
ad_base_dn
编辑Active Directory 基本区分名称。必填字段。
ad_user
编辑客户端用户名。用于身份验证。用户必须具有 Active Directory 读取访问权限。必填字段。
user_attributes
编辑在收集用户数据时,要从 Active Directory 服务器请求的一组目录属性。如果未设置,则请求所有用户属性。如果设置,则仅请求列出的属性,包括 distinguishedDomain 和 whenChanged。请注意,使用 Active Directory 属性名称。
group_attributes
编辑在收集组数据时,要从 Active Directory 服务器请求的一组目录属性。如果未设置,则请求所有组属性。如果设置,则仅请求列出的属性,包括 distinguishedDomain 和 whenChanged。请注意,使用 Active Directory 属性名称。
ad_paging_size
编辑如果设置,则要从 Active Directory 服务器请求的每个页面的记录数。
ad_password
编辑客户端的密码,用于身份验证。必填字段。
sync_interval
编辑应发生完全同步的间隔。间隔必须长于更新间隔 (update_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 24h(24 小时)。
update_interval
编辑应发生增量更新的间隔。间隔必须短于完全同步间隔 (sync_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 15m(15 分钟)。
Azure Active Directory (azure-ad)
编辑azure-ad 提供程序允许输入从 Azure Active Directory (AD) 检索用户及其组成员身份。
设置
编辑为了使提供程序正常运行,需要在 Azure 中授予必要的 API 权限
| 权限 | 类型 |
|---|---|
GroupMember.Read.All |
应用程序 |
User.Read.All |
应用程序 |
Device.Read.All |
应用程序 |
有关如何设置必要的应用程序注册、权限授予和密钥配置的完整指南,请遵循此指南。
工作原理
编辑概述
编辑Azure AD 提供程序定期联系 Azure Active Directory,检索用户、设备和组的更新,更新其用户和设备元数据以及组成员身份信息的内部缓存,并将更新的用户元数据发送到 Elasticsearch。
获取和发送更新发生在以下两个流程之一:完全同步 和 增量更新。完全同步将发送状态中用户和设备的完整列表,以及写入标记以指示同步事件的开始和结束。增量更新仅发送该事件期间更改的用户和设备的数据。用户或设备的更改可以有多种形式,例如用户或设备元数据更改、用户/设备添加或删除,或者组成员身份更改(直接或传递)。
API 交互
编辑提供程序定期从 Azure Active Directory 的 Microsoft Graph API 检索对用户、设备和组元数据的更改。这是通过对三个 API 端点进行调用来完成的
/delta 端点将提供自上次调用以来发生的更改,状态通过增量令牌进行跟踪。如果在没有增量令牌的情况下调用 /delta 端点,它将提供用户、设备或组的完整列表,类似于非增量端点。由于可能会返回许多结果,因此使用了分页机制。在响应主体中,有两个字段可能会出现,@odata.nextLink 和 @odata.deltaLink。
- 如果返回了
@odata.nextLink,则表示还有更多结果需要获取,并且此字段的值将包含应立即获取的 URL。 - 如果返回了
@odata.deltaLink,则表示当前没有更多结果,并且此字段的值(一个 URL)应保存以备下次需要获取更新(增量令牌)时使用。
组元数据将用于使用组成员信息丰富用户和设备。将为用户和设备提供直接成员资格以及传递成员资格。
将用户和设备元数据发送到 Elasticsearch
编辑在完全同步期间,将所有存储在状态中的用户和设备发送到输出,而增量更新将仅发送已更新的用户。完全同步将在写入标记文档的两侧进行限制,这些文档看起来像这样
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "started",
"start": "2022-11-04T09:57:19.786056-05:00"
},
"labels": {
"identity_source": "azure-1"
}
}
用户文档将显示用户的当前状态。
示例用户文档
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "user-discovered",
},
"azure_ad": {
"userPrincipalName": "[email protected]",
"mail": "[email protected]",
"displayName": "Example User",
"givenName": "Example",
"surname": "User",
"jobTitle": "Software Engineer",
"mobilePhone": "123-555-1000",
"businessPhones": ["123-555-0122"]
},
"user": {
"id": "5ebc6a0f-05b7-4f42-9c8a-682bbc75d0fc",
"group": [
{
"id": "331676df-b8fd-4492-82ed-02b927f8dd80",
"name": "group1"
},
{
"id": "d140978f-d641-4f01-802f-4ecc1acf8935",
"name": "group2"
}
]
},
"labels": {
"identity_source": "azure-1"
}
}
设备文档将显示设备的当前状态。
设备文档示例
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "device-discovered",
},
"azure_ad": {
"accountEnabled": true,
"deviceId": "2fbbb8f9-ff67-4a21-b867-a344d18a4198",
"displayName": "DESKTOP-LETW452G",
"operatingSystem": "Windows",
"operatingSystemVersion": "10.0.19043.1337",
"physicalIds": {
"extensionAttributes": {
"extensionAttribute1": "BYOD-Device"
}
},
"alternativeSecurityIds": [
{
"type": 2,
"identityProvider": null,
"key": "DGFSGHSGGTH345A...35DSFH0A"
},
]
},
"device": {
"id": "adbbe40a-0627-4328-89f1-88cac84dbc7f",
"group": [
{
"id": "331676df-b8fd-4492-82ed-02b927f8dd80",
"name": "group1"
}
]
"registered_owners": [
{
"id": "5ebc6a0f-05b7-4f42-9c8a-682bbc75d0fc",
"userPrincipalName": "[email protected]",
"mail": "[email protected]",
"displayName": "Example User",
"givenName": "Example",
"surname": "User",
"jobTitle": "Software Engineer",
"mobilePhone": "123-555-1000",
"businessPhones": ["123-555-0122"]
},
],
"registered_users": [
{
"id": "5ebc6a0f-05b7-4f42-9c8a-682bbc75d0fc",
"userPrincipalName": "[email protected]",
"mail": "[email protected]",
"displayName": "Example User",
"givenName": "Example",
"surname": "User",
"jobTitle": "Software Engineer",
"mobilePhone": "123-555-1000",
"businessPhones": ["123-555-0122"]
},
],
},
"labels": {
"identity_source": "azure-1"
}
}
配置
编辑示例配置
filebeat.inputs: - type: entity-analytics enabled: true id: azure-1 provider: azure-ad dataset: "all" sync_interval: "12h" update_interval: "30m" client_id: "CLIENT_ID" tenant_id: "TENANT_ID" secret: "SECRET"
azure-ad 提供程序支持以下配置
tenant_id
编辑租户 ID。字段是必需的。
client_id
编辑客户端/应用程序 ID。用于身份验证。字段是必需的。
secret
编辑密钥值,用于身份验证。字段是必需的。
dataset
编辑要从 API 中收集的数据集。可以是“all”、“users”或“devices”之一,或者可以为空以使用默认行为,即收集所有实体。当 dataset 设置为“devices”时,会收集一些用户实体数据以填充每个设备的注册用户和注册所有者字段。
sync_interval
编辑应发生完全同步的间隔。间隔必须长于更新间隔 (update_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 24h(24 小时)。
update_interval
编辑应发生增量更新的间隔。间隔必须短于完全同步间隔 (sync_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 15m(15 分钟)。
login_endpoint
编辑覆盖默认的身份验证登录端点。仅在指示执行此操作时才更改。更改此值还需要更改 login_scopes。
login_scopes
编辑覆盖默认的身份验证范围。仅在指示执行此操作时才更改。
select.users
编辑覆盖默认的 用户查询选择。这是一个可选查询参数列表。默认值为 ["accountEnabled", "userPrincipalName", "mail", "displayName", "givenName", "surname", "jobTitle", "officeLocation", "mobilePhone", "businessPhones"]。
select.groups
编辑覆盖默认的 组查询选择。这是一个可选查询参数列表。默认值为 ["displayName", "members"]。
select.devices
编辑覆盖默认的 设备查询选择。这是一个可选查询参数列表。默认值为 ["accountEnabled", "deviceId", "displayName", "operatingSystem", "operatingSystemVersion", "physicalIds", "extensionAttributes", "alternativeSecurityIds"]。
tracer.enabled
编辑可以将对 EntraID API 的 HTTP 请求和响应记录到本地文件系统以调试配置。通过将 tracer.enabled 设置为 true 并设置 tracer.filename 值来启用此选项。可以提供其他选项来调整日志轮换行为。要删除现有日志,请将 tracer.enabled 设置为 false,而无需取消设置文件名选项。
启用此选项会影响安全性,应仅用于调试。
tracer.filename
编辑为了区分从不同输入实例生成的跟踪文件,可以在文件名中添加占位符 *,它将被替换为输入实例 ID。例如,http-request-trace-*.ndjson。
Jamf 计算机管理 (jamf)
编辑jamf 提供程序允许输入从 Jamf API 检索计算机记录。
工作原理
编辑概述
编辑Jamf 提供程序定期联系 Jamf API,检索计算机更新,更新其托管计算机元数据的内部缓存,并将更新的元数据发送到 Elasticsearch。
获取和发送更新发生在以下两个过程之一:完全同步 和 增量更新。完全同步将发送状态中所有计算机的完整列表,以及写入标记以指示同步事件的开始和结束。增量更新将仅在该事件期间发送已更改计算机记录的数据。用户或设备上的更改可以有多种形式,无论是用户元数据的更改,还是用户添加或删除。
API 交互
编辑提供程序定期从 Jamf computers-preview API 检索用户/设备元数据的更改。这是通过对以下内容进行调用来完成的
提供程序通过保留返回的用户列表中最后记录的更新时间的记录来跟踪更新。在提供程序更新期间,Jamf 提供程序利用 Jamf API 的查询过滤功能仅请求自提供程序记录的上次更新以来更新的记录。
将计算机元数据发送到 Elasticsearch
编辑在完全同步期间,将所有存储在状态中的用户/设备发送到输出,而增量更新将仅发送已更新的用户和设备。完全同步将在写入标记文档的两侧进行限制,这些文档看起来像这样
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "started",
"start": "2022-11-04T09:57:19.786056-05:00"
},
"labels": {
"identity_source": "jamf-1"
}
}
文档将显示计算机记录的当前状态。
文档示例
{
"device": {
"id": "5982CE36-4526-580B-B4B9-ECC6782535BC"
},
"event": {
"action": "device-discovered"
},
"jamf": {
"location": {
"username": "john.doe",
"position": "Unknown Developer"
},
"site": null,
"name": "acme-C07DM3AZQ6NV",
"udid": "5982CE36-4526-580B-B4B9-ECC6782535BC",
"serialNumber": "C07DM3AZQ6NV",
"operatingSystemVersion": "14.0",
"operatingSystemBuild": "23A344",
"operatingSystemSupplementalBuildVersion": null,
"operatingSystemRapidSecurityResponse": null,
"macAddress": "64:0B:D7:AA:E4:B2",
"assetTag": null,
"modelIdentifier": "Macmini9,1",
"mdmAccessRights": 0,
"lastContactDate": "2024-04-18T14:26:51.514Z",
"lastReportDate": "2024-06-19T15:54:37.692Z",
"lastEnrolledDate": "2023-02-22T10:46:17.199Z",
"ipAddress": null,
"managementId": "1a59c510-b3a9-41cb-8afa-3d4187ac60d0",
"isManaged": true
},
"labels": {
"identity_source": "jamf-1"
}
}
配置
编辑示例配置
filebeat.inputs: - type: entity-analytics enabled: true id: jamf-1 provider: jamf dataset: "all" sync_interval: "12h" update_interval: "30m" jamf_tenant: "JAMF_TENANT" jamf_username: "JAMF_USERNAME" jamf_password: "JAMF_PASSWORD"
jamf 提供程序支持以下配置
jamf_tenant
编辑Jamf 租户主机。字段是必需的。
jamf_username
编辑Jamf 用户名,用于身份验证。字段是必需的。
jamf_password
编辑Jamf 用户密码,用于身份验证。字段是必需的。
page_size
编辑每次 API 请求要收集的计算机记录数。默认为 API 默认值。
sync_interval
编辑应发生完全同步的间隔。间隔必须长于更新间隔 (update_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 24h(24 小时)。
update_interval
编辑应发生增量更新的间隔。间隔必须短于完全同步间隔 (sync_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 15m(15 分钟)。
+==== tracer.enabled
可以将对 Jamf API 的 HTTP 请求和响应记录到本地文件系统以调试配置。通过将 tracer.enabled 设置为 true 并设置 tracer.filename 值来启用此选项。可以提供其他选项来调整日志轮换行为。要删除现有日志,请将 tracer.enabled 设置为 false,而无需取消设置文件名选项。
启用此选项会影响安全性,应仅用于调试。
tracer.filename
编辑为了区分从不同输入实例生成的跟踪文件,可以在文件名中添加占位符 *,它将被替换为输入实例 ID。例如,http-request-trace-*.ndjson。
Okta 用户身份 (okta)
编辑okta 提供程序允许输入从 Okta 用户 API 检索用户和设备。
设置
编辑为了使提供程序正常工作,需要在 Okta 中授予必要的 API 权限。在 Okta 帐户的管理仪表板中,导航到安全 > API,然后在“令牌”选项卡中单击“创建令牌”按钮以创建新令牌。复制令牌值并保留此值以配置提供程序。请注意,令牌不会再次显示,因此必须立即复制。此值将通过 okta_token 配置字段提供给提供程序。
设备 API 访问需要由 Okta 支持激活。
工作原理
编辑概述
编辑Okta 提供程序定期联系 Okta API,检索用户和设备的更新,更新其用户元数据的内部缓存,并将更新的用户/设备元数据发送到 Elasticsearch。
获取和发送更新发生在以下两个过程之一:完全同步 和 增量更新。完全同步将发送状态中所有用户和设备的完整列表,以及写入标记以指示同步事件的开始和结束。增量更新将仅在该事件期间发送已更改用户和设备的数据。用户或设备上的更改可以有多种形式,无论是用户元数据的更改,还是用户添加或删除。
API 交互
编辑提供程序定期从 Okta 用户和设备 API 检索用户/设备元数据的更改。这是通过对以下内容进行调用来完成的
提供程序通过保留返回的用户列表中最后记录的更新时间的记录来跟踪更新。在提供程序更新期间,Okta 提供程序利用 Okta API 的查询过滤功能仅请求自提供程序记录的上次更新以来更新的记录。
将用户元数据发送到 Elasticsearch
编辑在完全同步期间,将所有存储在状态中的用户/设备发送到输出,而增量更新将仅发送已更新的用户和设备。完全同步将在写入标记文档的两侧进行限制,这些文档看起来像这样
{
"@timestamp": "2022-11-04T09:57:19.786056-05:00",
"event": {
"action": "started",
"start": "2022-11-04T09:57:19.786056-05:00"
},
"labels": {
"identity_source": "okta-1"
}
}
用户文档将显示用户的当前状态。
示例用户文档
{
"@timestamp": "2023-07-04T09:57:19.786056-05:00",
"event": {
"action": "user-discovered",
},
"okta": {
"id": "userid",
"status": "RECOVERY",
"created": "2023-06-02T09:33:00.189752+09:30",
"activated": "0001-01-01T00:00:00Z",
"statusChanged": "2023-06-02T09:33:00.189752+09:30",
"lastLogin": "2023-06-02T09:33:00.189752+09:30",
"lastUpdated": "2023-06-02T09:33:00.189753+09:30",
"passwordChanged": "2023-06-02T09:33:00.189753+09:30",
"type": {
"id": "typeid"
},
"profile": {
"login": "[email protected]",
"email": "[email protected]",
"firstName": "name",
"lastName": "surname"
},
"credentials": {
"password": {},
"provider": {
"type": "OKTA",
"name": "OKTA"
}
},
"_links": {
"self": {
"href": "https://127.0.0.1/api/v1/users/userid"
}
}
},
"user": {
"id": "userid",
},
"labels": {
"identity_source": "okta-1"
}
}
设备文档将显示设备的当前状态,包括任何关联的用户。
设备文档示例
{
"@timestamp": "2023-07-04T09:57:19.786056-05:00",
"event": {
"action": "device-discovered",
},
"okta": {
"created": "2019-10-02T18:03:07Z",
"id": "deviceid",
"lastUpdated": "2019-10-02T18:03:07Z",
"profile": {
"diskEncryptionType": "ALL_INTERNAL_VOLUMES",
"displayName": "Example Device name 1",
"platform": "WINDOWS",
"registered": true,
"secureHardwarePresent": false,
"serialNumber": "XXDDRFCFRGF3M8MD6D",
"sid": "S-1-11-111"
},
"resourceAlternateID": "",
"resourceDisplayName": {
"sensitive": false,
"value": "Example Device name 1"
},
"resourceID": "deviceid",
"resourceType": "UDDevice",
"status": "ACTIVE",
"_links": {
"activate": {
"hints": {
"allow": [
"POST"
]
},
"href": "https://127.0.0.1/api/v1/devices/deviceid/lifecycle/activate"
},
"self": {
"hints": {
"allow": [
"GET",
"PATCH",
"PUT"
]
},
"href": "https://127.0.0.1/api/v1/devices/deviceid"
},
"users": {
"hints": {
"allow": [
"GET"
]
},
"href": "https://127.0.0.1/api/v1/devices/deviceid/users"
}
},
"users": [
{
"id": "userid",
"status": "RECOVERY",
"created": "2023-05-14T13:37:20Z",
"activated": "0001-01-01T00:00:00Z",
"statusChanged": "2023-05-15T01:50:30Z",
"lastLogin": "2023-05-15T01:59:20Z",
"lastUpdated": "2023-05-15T01:50:32Z",
"passwordChanged": "2023-05-15T01:50:32Z",
"type": {
"id": "typeid"
},
"profile": {
"login": "[email protected]",
"email": "[email protected]",
"firstName": "name",
"lastName": "surname"
},
"credentials": {
"password": {},
"provider": {
"type": "OKTA",
"name": "OKTA"
}
},
"_links": {
"self": {
"href": "https://127.0.0.1/api/v1/users/userid"
}
}
}
]
},
"device": {
"id": "deviceid",
},
"labels": {
"identity_source": "okta-1"
}
}
配置
编辑示例配置
filebeat.inputs: - type: entity-analytics enabled: true id: okta-1 provider: okta dataset: "all" sync_interval: "12h" update_interval: "30m" okta_domain: "OKTA_DOMAIN" okta_token: "OKTA_TOKEN"
okta 提供程序支持以下配置
okta_domain
编辑Okta 域名。字段是必需的。
okta_token
编辑Okta 密钥令牌,用于身份验证。字段是必需的。
collect_device_details
编辑输入是否应从 Okta API 收集设备和与设备关联的用户详细信息。必须在 Okta 帐户上激活设备详细信息才能使用此选项。
dataset
编辑要从 API 中收集的数据集。可以是“all”、“users”或“devices”之一,或者可以为空以使用默认行为,即收集所有实体。当 dataset 设置为“devices”时,会收集一些用户实体数据以填充每个设备的注册用户和注册所有者字段。
sync_interval
编辑应发生完全同步的间隔。间隔必须长于更新间隔 (update_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 24h(24 小时)。
update_interval
编辑应发生增量更新的间隔。间隔必须短于完全同步间隔 (sync_interval)。表示为持续时间字符串(例如,1m、3h、24h)。默认为 15m(15 分钟)。
tracer.enabled
编辑可以将 HTTP 请求和响应记录到 Okta API 的本地文件系统中,以便调试配置。通过将 tracer.enabled 设置为 true 并设置 tracer.filename 值来启用此选项。还提供其他选项来调整日志轮换行为。要删除现有日志,请将 tracer.enabled 设置为 false,而无需取消设置文件名选项。
启用此选项会影响安全性,应仅用于调试。
tracer.filename
编辑为了区分从不同输入实例生成的跟踪文件,可以在文件名中添加占位符 *,它将被替换为输入实例 ID。例如,http-request-trace-*.ndjson。
指标
编辑此输入在HTTP 监控端点下公开指标。这些指标在 /inputs 路径下公开。它们可用于观察输入的活动。
| 指标 | 描述 |
|---|---|
|
完整同步的总数。 |
|
由于错误而导致失败的完整同步次数。 |
|
以纳秒为单位的已用完整同步时间的直方图(从 API 联系到发送到输出项的时间)。 |
|
增量更新的总数。 |
|
由于错误而导致失败的增量更新次数。 |
|
以纳秒为单位的已用增量更新时间的直方图(从 API 联系到发送到输出项的时间)。 |
此输入处于实验阶段,并且正在积极开发中。配置选项和行为可能会在未经通知的情况下更改。谨慎使用,请勿在生产环境中使用。