Okta 字段

用于处理来自 Okta 的系统日志的模块。

okta

来自 Okta 的字段。

okta.uuid

Okta LogEvent 的唯一标识符。

类型:keyword

okta.event_type

LogEvent 的类型。

类型:keyword

okta.version

LogEvent 的版本。

类型:keyword

okta.severity

LogEvent 的严重程度。必须是 DEBUG、INFO、WARN 或 ERROR 之一。

类型:keyword

okta.display_message

LogEvent 的显示消息。

类型:keyword

actor

用于存储 LogEvent 的 actor 信息的字段。

okta.actor.id

actor 的标识符。

类型:keyword

okta.actor.type

actor 的类型。

类型:keyword

okta.actor.alternate_id

actor 的备用标识符。

类型:keyword

okta.actor.display_name

actor 的显示名称。

类型:keyword

client

用于存储 actor 的客户端信息的字段。

okta.client.ip

客户端的 IP 地址。

类型:ip

user_agent

有关客户端的用户代理信息的字段。

okta.client.user_agent.raw_user_agent

用户代理的原始信息。

类型:keyword

okta.client.user_agent.os

操作系统信息。

类型:keyword

okta.client.user_agent.browser

客户端的浏览器信息。

类型:keyword

okta.client.zone

客户端的区域信息。

类型:keyword

okta.client.device

客户端设备的信息。

类型:keyword

okta.client.id

客户端的标识符。

类型:keyword

outcome

用于存储有关结果信息的字段。

okta.outcome.reason

结果的原因。

类型:keyword

okta.outcome.result

结果的结果。必须是以下之一:SUCCESS、FAILURE、SKIPPED、ALLOW、DENY、CHALLENGE、UNKNOWN。

类型:keyword

okta.target

目标列表。

类型:flattened

transaction

用于存储有关相关事务信息的字段。

okta.transaction.id

事务的标识符。

类型:keyword

okta.transaction.type

事务的类型。必须是 “WEB” 或 “JOB” 之一。

类型:keyword

debug_context

用于存储有关调试上下文信息的字段。

debug_data

调试数据。

okta.debug_context.debug_data.device_fingerprint

设备的指纹。

类型:keyword

okta.debug_context.debug_data.factor

用于身份验证的因素。

类型:keyword

okta.debug_context.debug_data.request_id

请求的标识符。

类型:keyword

okta.debug_context.debug_data.request_uri

请求 URI。

类型:keyword

okta.debug_context.debug_data.threat_suspected

怀疑存在威胁。

类型:keyword

okta.debug_context.debug_data.risk_behaviors

导致风险评估的行为集。

类型:keyword

okta.debug_context.debug_data.risk_level

分配给登录尝试的风险级别。

类型:keyword

okta.debug_context.debug_data.risk_reasons

风险的原因。

类型:keyword

okta.debug_context.debug_data.url

URL。

类型:keyword

okta.debug_context.debug_data.flattened

完整的 debug_data 对象。

类型:flattened

suspicious_activity

来自调试数据的可疑活动字段。

okta.debug_context.debug_data.suspicious_activity.browser

使用的浏览器。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.event_city

发生可疑活动的城市。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.event_country

发生可疑活动的国家/地区。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.event_id

事件 ID。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.event_ip

可疑事件的 IP。

类型:ip

okta.debug_context.debug_data.suspicious_activity.event_latitude

发生可疑活动的纬度。

类型:float

okta.debug_context.debug_data.suspicious_activity.event_longitude

发生可疑活动的经度。

类型:float

okta.debug_context.debug_data.suspicious_activity.event_state

发生可疑活动的州/省。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.event_transaction_id

事件事务 ID。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.event_type

事件类型。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.os

发生可疑活动的系统的操作系统。

类型:keyword

okta.debug_context.debug_data.suspicious_activity.timestamp

活动发生时的时间戳。

类型:date

authentication_context

用于存储有关身份验证上下文信息的字段。

okta.authentication_context.authentication_provider

有关身份验证提供程序的信息。必须是 OKTA_AUTHENTICATION_PROVIDER、ACTIVE_DIRECTORY、LDAP、FEDERATION、SOCIAL、FACTOR_PROVIDER 之一。

类型:keyword

okta.authentication_context.authentication_step

身份验证步骤。

类型:integer

okta.authentication_context.credential_provider

有关凭据提供程序的信息。必须是 OKTA_CREDENTIAL_PROVIDER、RSA、SYMANTEC、GOOGLE、DUO、YUBIKEY 之一。

类型:keyword

okta.authentication_context.credential_type

有关凭据类型的信息。必须是 OTP、SMS、PASSWORD、ASSERTION、IWA、EMAIL、OAUTH2、JWT、CERTIFICATE、PRE_SHARED_SYMMETRIC_KEY、OKTA_CLIENT_SESSION、DEVICE_UDID 之一。

类型:keyword

okta.authentication_context.issuer

有关颁发者的信息。

类型:array

okta.authentication_context.external_session_id

外部会话的会话标识符(如果有)。

类型:keyword

okta.authentication_context.interface

使用的接口。例如,Outlook、Office365、wsTrust

类型:keyword

security_context

用于存储有关安全上下文信息的字段。

as

自治系统。

okta.security_context.as.number

AS 号码。

类型:integer

organization

拥有 AS 号码的组织。

okta.security_context.as.organization.name

组织名称。

类型:keyword

okta.security_context.isp

互联网服务提供商。

类型:keyword

okta.security_context.domain

域名。

类型:keyword

okta.security_context.is_proxy

是否为代理。

类型:boolean

request

用于存储有关请求信息的字段,以 ip_chain 列表的形式。

okta.request.ip_chain

ip_chain 对象列表。

类型:flattened