用于处理来自 Okta 的系统日志的模块。
来自 Okta 的字段。
-
okta.uuid -
Okta LogEvent 的唯一标识符。
类型:keyword
-
okta.event_type -
LogEvent 的类型。
类型:keyword
-
okta.version -
LogEvent 的版本。
类型:keyword
-
okta.severity -
LogEvent 的严重程度。必须是 DEBUG、INFO、WARN 或 ERROR 之一。
类型:keyword
-
okta.display_message -
LogEvent 的显示消息。
类型:keyword
用于存储 LogEvent 的 actor 信息的字段。
-
okta.actor.id -
actor 的标识符。
类型:keyword
-
okta.actor.type -
actor 的类型。
类型:keyword
-
okta.actor.alternate_id -
actor 的备用标识符。
类型:keyword
-
okta.actor.display_name -
actor 的显示名称。
类型:keyword
用于存储 actor 的客户端信息的字段。
-
okta.client.ip -
客户端的 IP 地址。
类型:ip
有关客户端的用户代理信息的字段。
-
okta.client.user_agent.raw_user_agent -
用户代理的原始信息。
类型:keyword
-
okta.client.user_agent.os -
操作系统信息。
类型:keyword
-
okta.client.user_agent.browser -
客户端的浏览器信息。
类型:keyword
-
okta.client.zone -
客户端的区域信息。
类型:keyword
-
okta.client.device -
客户端设备的信息。
类型:keyword
-
okta.client.id -
客户端的标识符。
类型:keyword
用于存储有关结果信息的字段。
-
okta.outcome.reason -
结果的原因。
类型:keyword
-
okta.outcome.result -
结果的结果。必须是以下之一:SUCCESS、FAILURE、SKIPPED、ALLOW、DENY、CHALLENGE、UNKNOWN。
类型:keyword
-
okta.target -
目标列表。
类型:flattened
用于存储有关相关事务信息的字段。
-
okta.transaction.id -
事务的标识符。
类型:keyword
-
okta.transaction.type -
事务的类型。必须是 “WEB” 或 “JOB” 之一。
类型:keyword
用于存储有关调试上下文信息的字段。
调试数据。
-
okta.debug_context.debug_data.device_fingerprint -
设备的指纹。
类型:keyword
-
okta.debug_context.debug_data.factor -
用于身份验证的因素。
类型:keyword
-
okta.debug_context.debug_data.request_id -
请求的标识符。
类型:keyword
-
okta.debug_context.debug_data.request_uri -
请求 URI。
类型:keyword
-
okta.debug_context.debug_data.threat_suspected -
怀疑存在威胁。
类型:keyword
-
okta.debug_context.debug_data.risk_behaviors -
导致风险评估的行为集。
类型:keyword
-
okta.debug_context.debug_data.risk_level -
分配给登录尝试的风险级别。
类型:keyword
-
okta.debug_context.debug_data.risk_reasons -
风险的原因。
类型:keyword
-
okta.debug_context.debug_data.url -
URL。
类型:keyword
-
okta.debug_context.debug_data.flattened -
完整的 debug_data 对象。
类型:flattened
来自调试数据的可疑活动字段。
-
okta.debug_context.debug_data.suspicious_activity.browser -
使用的浏览器。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.event_city -
发生可疑活动的城市。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.event_country -
发生可疑活动的国家/地区。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.event_id -
事件 ID。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.event_ip -
可疑事件的 IP。
类型:ip
-
okta.debug_context.debug_data.suspicious_activity.event_latitude -
发生可疑活动的纬度。
类型:float
-
okta.debug_context.debug_data.suspicious_activity.event_longitude -
发生可疑活动的经度。
类型:float
-
okta.debug_context.debug_data.suspicious_activity.event_state -
发生可疑活动的州/省。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.event_transaction_id -
事件事务 ID。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.event_type -
事件类型。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.os -
发生可疑活动的系统的操作系统。
类型:keyword
-
okta.debug_context.debug_data.suspicious_activity.timestamp -
活动发生时的时间戳。
类型:date
用于存储有关身份验证上下文信息的字段。
-
okta.authentication_context.authentication_provider -
有关身份验证提供程序的信息。必须是 OKTA_AUTHENTICATION_PROVIDER、ACTIVE_DIRECTORY、LDAP、FEDERATION、SOCIAL、FACTOR_PROVIDER 之一。
类型:keyword
-
okta.authentication_context.authentication_step -
身份验证步骤。
类型:integer
-
okta.authentication_context.credential_provider -
有关凭据提供程序的信息。必须是 OKTA_CREDENTIAL_PROVIDER、RSA、SYMANTEC、GOOGLE、DUO、YUBIKEY 之一。
类型:keyword
-
okta.authentication_context.credential_type -
有关凭据类型的信息。必须是 OTP、SMS、PASSWORD、ASSERTION、IWA、EMAIL、OAUTH2、JWT、CERTIFICATE、PRE_SHARED_SYMMETRIC_KEY、OKTA_CLIENT_SESSION、DEVICE_UDID 之一。
类型:keyword
-
okta.authentication_context.issuer -
有关颁发者的信息。
类型:array
-
okta.authentication_context.external_session_id -
外部会话的会话标识符(如果有)。
类型:keyword
-
okta.authentication_context.interface -
使用的接口。例如,Outlook、Office365、wsTrust
类型:keyword
用于存储有关安全上下文信息的字段。
自治系统。
-
okta.security_context.as.number -
AS 号码。
类型:integer
拥有 AS 号码的组织。
-
okta.security_context.as.organization.name -
组织名称。
类型:keyword
-
okta.security_context.isp -
互联网服务提供商。
类型:keyword
-
okta.security_context.domain -
域名。
类型:keyword
-
okta.security_context.is_proxy -
是否为代理。
类型:boolean
用于存储有关请求信息的字段,以 ip_chain 列表的形式。
-
okta.request.ip_chain -
ip_chain 对象列表。
类型:flattened