Okta 模块

编辑

Okta 模块从 Okta API 收集事件。具体来说,这支持从 Okta 系统日志 API 读取数据。

变量设置

编辑

每个文件集都有单独的变量设置,用于配置模块的行为。如果不指定变量设置,则 okta 模块将使用默认值。

对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置

当您在命令行中指定设置时,请记住在设置前加上模块名称,例如,okta.system.var.paths 而不是 system.var.paths

system 文件集设置

编辑

Okta 系统日志记录与您的组织相关的系统事件,以便提供可用于了解平台活动和诊断问题的审计跟踪。此模块使用 httpjson 输入实现,并配置为在遵守 Okta 发送的任何 速率限制 标头的同时分页浏览日志。

这是模块的示例配置。

- module: okta
  system:
    var.url: https://yourOktaDomain/api/v1/logs
    var.api_key: '00QCjAl4MlV-WPXM...0HmjFx-vbGua'
配置选项
编辑
var.url

指定 Okta 系统日志 API 的 URL。必需。

    var.url: https://mycompany.okta.com/api/v1/logs
var.api_key

指定在 API 请求中使用的 Okta API 令牌。必需。令牌在 HTTP Authorization 标头中使用,方案为 SSWS。有关如何获取令牌的信息,请参阅 创建 API 令牌

    var.api_key: '00QCjAl4MlV-WPXM...0HmjFx-vbGua'
var.http_client_timeout
模块发出的 HTTP 请求的时间限制持续时间。默认为 60s
var.interval
对 API 发出请求的间隔持续时间。默认为 60s
var.keep_original_message
布尔标志,指示原始 JSON 事件字符串是否应包含在 event.original 字段中。默认为 true
var.ssl

SSL 参数的配置选项,例如用于基于 HTTPS 的连接的证书颁发机构。如果缺少 ssl 部分,则主机 CA 将用于与 Okta 的 HTTPS 连接。有关更多信息,请参阅 SSL

    var.ssl:
      supported_protocols: [TLSv1.2]
var.initial_interval

可以定义初始间隔。模块第一次启动时,将从当前时刻减去初始间隔值来获取事件。后续重启将从上次读取的事件开始获取事件。默认为 24h

    var.initial_interval: 24h # will fetch events starting 24h ago.
input.request.rate_limit.early_limit

您可以在 HTTP JSON 中覆盖默认的速率限制行为。Okta 模块的默认设置是使用 Okta 速率限制的最多 89%,这应避免在速率限制使用时出现 Okta 警告。

    input.request.rate_limit.early_limit: 0.89

示例仪表板

编辑

此模块附带一个示例仪表板

filebeat okta dashboard

字段

编辑

有关模块中每个字段的描述,请参阅 导出的字段部分。