authentik
编辑authentik
编辑authentik 是一个 IdP(身份提供商)和 SSO(单点登录)系统,其构建以安全性为核心,每一个代码片段、每一个功能都强调灵活性和多功能性。
authentik 集成使用 REST API 收集事件、组和用户日志。
数据流
编辑authentik 集成收集三种类型的日志
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过这种方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过这种方法,您可以安装 Elastic Agent 并在安装它的系统上手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,并且我们提供了在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑从 authentik API 收集数据
编辑- 登录到您的 authentik 实例以获取您的 API 令牌。打开 管理界面 并导航到 目录 > 令牌和应用程序密码。在那里,创建一个 API 令牌,然后保存并复制此令牌。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理”>“集成”。
- 在顶部栏“搜索集成”中,搜索
Authentik。 - 从搜索结果中选择“authentik”集成。
- 选择“添加 authentik”以添加集成。
- 添加所有必需的集成配置参数,包括 API 令牌、间隔和页面大小,以启用数据收集。
- 选择“保存并继续”以保存集成。
日志参考
编辑事件
编辑这是 event 数据集。
示例
event 的示例事件如下所示
{
"@timestamp": "2024-08-05T15:41:18.411Z",
"agent": {
"ephemeral_id": "edde0bc1-0e59-44d9-b1bb-abbd7475a28a",
"id": "e55a97d9-f895-45b2-8fca-cb45755f60cd",
"name": "elastic-agent-86888",
"type": "filebeat",
"version": "8.13.0"
},
"authentik": {
"event": {
"action": "user_write",
"app": "authentik.events.signals",
"brand": {
"app": "authentik_brands",
"model_name": "brand",
"name": "Default brand",
"pk": "fcba828076b94dedb2d5a6b4c5556fa1"
},
"client_ip": "67.43.156.0",
"context": {
"created": false,
"email": "root@localhost",
"http_request": {
"method": "GET",
"path": "/api/v3/flows/executor/default-user-settings-flow/"
},
"name": "authentik Default Admin",
"username": "akadmin"
},
"created": "2024-08-05T15:41:18.411Z",
"expires": "2024-08-06T15:41:18.410Z",
"pk": "d012e8af-cb94-4fa2-9e92-961e4eebc060",
"user": {
"email": "root@localhost",
"pk": "1",
"username": "akadmin"
}
}
},
"data_stream": {
"dataset": "authentik.event",
"namespace": "62208",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e55a97d9-f895-45b2-8fca-cb45755f60cd",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "user-write",
"agent_id_status": "verified",
"category": [
"iam"
],
"created": "2024-08-05T15:41:18.411Z",
"dataset": "authentik.event",
"id": "d012e8af-cb94-4fa2-9e92-961e4eebc060",
"ingested": "2024-08-21T12:04:25Z",
"kind": "event",
"original": "{\"action\":\"user_write\",\"app\":\"authentik.events.signals\",\"brand\":{\"app\":\"authentik_brands\",\"model_name\":\"brand\",\"name\":\"Default brand\",\"pk\":\"fcba828076b94dedb2d5a6b4c5556fa1\"},\"client_ip\":\"67.43.156.0\",\"context\":{\"attributes\":{\"settings\":{\"locale\":\"\"}},\"created\":false,\"email\":\"root@localhost\",\"http_request\":{\"args\":{\"query\":\"\"},\"method\":\"GET\",\"path\":\"/api/v3/flows/executor/default-user-settings-flow/\"},\"name\":\"authentik Default Admin\",\"username\":\"akadmin\"},\"created\":\"2024-08-05T15:41:18.411017Z\",\"expires\":\"2024-08-06T15:41:18.410276Z\",\"pk\":\"d012e8af-cb94-4fa2-9e92-961e4eebc060\",\"user\":{\"email\":\"root@localhost\",\"pk\":1,\"username\":\"akadmin\"}}",
"type": [
"change"
]
},
"http": {
"request": {
"method": "GET"
}
},
"input": {
"type": "cel"
},
"observer": {
"product": "authentik",
"vendor": "authentik"
},
"related": {
"ip": [
"67.43.156.0"
],
"user": [
"root@localhost",
"1",
"akadmin"
]
},
"source": {
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.0"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"authentik-event"
],
"url": {
"path": "/api/v3/flows/executor/default-user-settings-flow/"
},
"user": {
"domain": "localhost",
"email": "root@localhost",
"id": "1",
"name": "akadmin"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
authentik.event.action |
关键字 |
|
authentik.event.app |
关键字 |
|
authentik.event.brand.app |
关键字 |
|
authentik.event.brand.model_name |
关键字 |
|
authentik.event.brand.name |
关键字 |
|
authentik.event.brand.pk |
关键字 |
|
authentik.event.client_ip |
ip |
|
authentik.event.context.auth_method |
关键字 |
|
authentik.event.context.authorized_application.app |
关键字 |
|
authentik.event.context.authorized_application.model_name |
关键字 |
|
authentik.event.context.authorized_application.name |
关键字 |
|
authentik.event.context.authorized_application.pk |
关键字 |
|
authentik.event.context.binding.app |
关键字 |
|
authentik.event.context.binding.model_name |
关键字 |
|
authentik.event.context.binding.name |
关键字 |
|
authentik.event.context.binding.pk |
关键字 |
|
authentik.event.context.created |
布尔值 |
|
authentik.event.context.diff |
扁平化 |
|
authentik.event.context.email |
关键字 |
|
authentik.event.context.expression |
关键字 |
|
authentik.event.context.flow |
关键字 |
|
authentik.event.context.http_request.args.client_id |
关键字 |
|
authentik.event.context.http_request.args.format_result |
关键字 |
|
authentik.event.context.http_request.args.include_groups |
关键字 |
|
authentik.event.context.http_request.args.next |
关键字 |
|
authentik.event.context.http_request.args.page_size |
关键字 |
|
authentik.event.context.http_request.args.query |
关键字 |
|
authentik.event.context.http_request.args.redirect_uri |
关键字 |
|
authentik.event.context.http_request.args.response_type |
关键字 |
|
authentik.event.context.http_request.args.scope |
关键字 |
|
authentik.event.context.http_request.args.state |
关键字 |
|
authentik.event.context.http_request.method |
关键字 |
|
authentik.event.context.http_request.path |
关键字 |
|
authentik.event.context.http_request.user_agent |
关键字 |
|
authentik.event.context.message |
关键字 |
|
authentik.event.context.model.app |
关键字 |
|
authentik.event.context.model.model_name |
关键字 |
|
authentik.event.context.model.name |
关键字 |
|
authentik.event.context.model.pk |
关键字 |
|
authentik.event.context.name |
关键字 |
|
authentik.event.context.new_version |
关键字 |
|
authentik.event.context.password |
关键字 |
|
authentik.event.context.policy_uuid |
关键字 |
|
authentik.event.context.request.context.event.app |
关键字 |
|
authentik.event.context.request.context.event.model_name |
关键字 |
|
authentik.event.context.request.context.event.name |
关键字 |
|
authentik.event.context.request.context.event.pk |
关键字 |
|
authentik.event.context.request.obj.app |
关键字 |
|
authentik.event.context.request.obj.model_name |
关键字 |
|
authentik.event.context.request.obj.name |
关键字 |
|
authentik.event.context.request.obj.pk |
关键字 |
|
authentik.event.context.request.user.email |
关键字 |
|
authentik.event.context.request.user.pk |
关键字 |
|
authentik.event.context.request.user.username |
关键字 |
|
authentik.event.context.result.passing |
布尔值 |
|
authentik.event.context.scopes |
关键字 |
|
authentik.event.context.secret.app |
关键字 |
|
authentik.event.context.secret.model_name |
关键字 |
|
authentik.event.context.secret.name |
关键字 |
|
authentik.event.context.secret.pk |
关键字 |
|
authentik.event.context.stage.app |
关键字 |
|
authentik.event.context.stage.model_name |
关键字 |
|
authentik.event.context.stage.name |
关键字 |
|
authentik.event.context.stage.pk |
关键字 |
|
authentik.event.context.token.app |
关键字 |
|
authentik.event.context.token.model_name |
关键字 |
|
authentik.event.context.token.name |
关键字 |
|
authentik.event.context.token.pk |
关键字 |
|
authentik.event.context.username |
关键字 |
|
authentik.event.created |
日期 |
|
authentik.event.expires |
日期 |
|
authentik.event.pk |
关键字 |
|
authentik.event.user.email |
关键字 |
|
authentik.event.user.is_anonymous |
布尔值 |
|
authentik.event.user.on_behalf_of.email |
关键字 |
|
authentik.event.user.on_behalf_of.pk |
关键字 |
|
authentik.event.user.on_behalf_of.username |
关键字 |
|
authentik.event.user.pk |
关键字 |
|
authentik.event.user.username |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.offset |
日志偏移量。 |
长整型 |
组
编辑这是 group 数据集。
示例
group 的示例事件如下所示
{
"@timestamp": "2024-08-21T12:06:54.045Z",
"agent": {
"ephemeral_id": "131ab180-e0d2-4054-8ae7-06cc8f2c1d56",
"id": "48ae0a0f-a7dc-4d47-b458-48c79d5d118e",
"name": "elastic-agent-38018",
"type": "filebeat",
"version": "8.13.0"
},
"authentik": {
"group": {
"attributes": {
"ldap_uniq": "S-1-5-21-1234567890-1234567890-1234567890-1234"
},
"is_superuser": false,
"name": "AllUsers",
"num_pk": 55003,
"pk": "29613be9-2db3-4488-9338-60ec7762f60d",
"users": [
"12",
"14",
"15",
"7",
"9",
"13",
"8",
"16",
"11",
"6",
"4"
]
}
},
"data_stream": {
"dataset": "authentik.group",
"namespace": "24575",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "48ae0a0f-a7dc-4d47-b458-48c79d5d118e",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"iam"
],
"dataset": "authentik.group",
"ingested": "2024-08-21T12:06:57Z",
"kind": "asset",
"original": "{\"attributes\":{\"ldap_uniq\":\"S-1-5-21-1234567890-1234567890-1234567890-1234\"},\"is_superuser\":false,\"name\":\"AllUsers\",\"num_pk\":55003,\"parent\":null,\"parent_name\":null,\"pk\":\"29613be9-2db3-4488-9338-60ec7762f60d\",\"roles\":[],\"roles_obj\":[],\"users\":[12,14,15,7,9,13,8,16,11,6,4],\"users_obj\":null}",
"type": [
"group",
"info"
]
},
"group": {
"id": "29613be9-2db3-4488-9338-60ec7762f60d",
"name": "AllUsers"
},
"input": {
"type": "cel"
},
"observer": {
"product": "authentik",
"vendor": "authentik"
},
"related": {
"user": [
"12",
"14",
"15",
"7",
"9",
"13",
"8",
"16",
"11",
"6",
"4"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"authentik-group"
],
"user": {
"id": [
"12",
"14",
"15",
"7",
"9",
"13",
"8",
"16",
"11",
"6",
"4"
]
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
authentik.group.attributes.ldap_uniq |
关键字 |
|
authentik.group.attributes.notes |
关键字 |
|
authentik.group.is_superuser |
添加到此组的用户将成为超级用户。 |
布尔值 |
authentik.group.name |
关键字 |
|
authentik.group.num_pk |
长整型 |
|
authentik.group.parent |
关键字 |
|
authentik.group.parent_name |
关键字 |
|
authentik.group.pk |
关键字 |
|
authentik.group.roles |
关键字 |
|
authentik.group.roles_obj.name |
关键字 |
|
authentik.group.roles_obj.pk |
关键字 |
|
authentik.group.users |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.offset |
日志偏移量。 |
长整型 |
用户
编辑这是 user 数据集。
示例
user 的示例事件如下所示
{
"@timestamp": "2024-08-21T12:09:24.375Z",
"agent": {
"ephemeral_id": "5a57d88f-c696-4acf-bf3f-9d9e2a1fed79",
"id": "584b670d-b9d7-43d3-879e-0da908afc09a",
"name": "elastic-agent-32864",
"type": "filebeat",
"version": "8.13.0"
},
"authentik": {
"user": {
"avatar": "data:image/svg+xml;base64,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",
"email": "[email protected]",
"groups": [
"722c1c38-3f82-4b58-9f2f-bed1c7f16f84",
"9eeda44b-9bd3-474e-84f9-39c661427772"
],
"is_active": true,
"is_superuser": true,
"last_login": "2024-08-13T05:33:54.801Z",
"name": "authentik Default Admin",
"path": "users",
"pk": "4",
"type": "internal",
"uid": "0abfaa5432568967abcdef895517d6d9b012345677899abcde78befef4f5cd4e99",
"username": "akadmin",
"uuid": "abcdef12-1234-5678-1725-abcdefabcdef"
}
},
"data_stream": {
"dataset": "authentik.user",
"namespace": "15430",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "584b670d-b9d7-43d3-879e-0da908afc09a",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"iam"
],
"dataset": "authentik.user",
"ingested": "2024-08-21T12:09:27Z",
"kind": "asset",
"original": "{\"attributes\":{},\"avatar\":\"data:image/svg+xml;base64,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\",\"email\":\"[email protected]\",\"groups\":[\"722c1c38-3f82-4b58-9f2f-bed1c7f16f84\",\"9eeda44b-9bd3-474e-84f9-39c661427772\"],\"groups_obj\":null,\"is_active\":true,\"is_superuser\":true,\"last_login\":\"2024-08-13T05:33:54.801600Z\",\"name\":\"authentik Default Admin\",\"path\":\"users\",\"pk\":4,\"type\":\"internal\",\"uid\":\"0abfaa5432568967abcdef895517d6d9b012345677899abcde78befef4f5cd4e99\",\"username\":\"akadmin\",\"uuid\":\"abcdef12-1234-5678-1725-abcdefabcdef\"}",
"type": [
"user",
"info"
]
},
"input": {
"type": "cel"
},
"observer": {
"product": "authentik",
"vendor": "authentik"
},
"related": {
"user": [
"4",
"akadmin",
"authentik Default Admin",
"[email protected]",
"0abfaa5432568967abcdef895517d6d9b012345677899abcde78befef4f5cd4e99",
"abcdef12-1234-5678-1725-abcdefabcdef"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"authentik-user"
],
"user": {
"domain": "example.com",
"email": "[email protected]",
"full_name": "authentik Default Admin",
"group": {
"id": [
"722c1c38-3f82-4b58-9f2f-bed1c7f16f84",
"9eeda44b-9bd3-474e-84f9-39c661427772"
]
},
"id": "4",
"name": "akadmin"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
authentik.user.attributes.ldap_uniq |
关键字 |
|
authentik.user.attributes.sn |
关键字 |
|
authentik.user.attributes.upn |
关键字 |
|
authentik.user.avatar |
关键字 |
|
authentik.user.email |
关键字 |
|
authentik.user.groups |
关键字 |
|
authentik.user.is_active |
布尔值 |
|
authentik.user.is_superuser |
布尔值 |
|
authentik.user.last_login |
日期 |
|
authentik.user.name |
关键字 |
|
authentik.user.path |
关键字 |
|
authentik.user.pk |
关键字 |
|
authentik.user.type |
关键字 |
|
authentik.user.uid |
关键字 |
|
authentik.user.username |
关键字 |
|
authentik.user.uuid |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.offset |
日志偏移量。 |
长整型 |