ForgeRock 身份平台
编辑ForgeRock 身份平台
编辑ForgeRock 是一个现代身份平台,可帮助组织从根本上简化身份和访问管理 (IAM) 以及身份治理和管理 (IGA)。ForgeRock 集成从 API 收集审计日志。
配置
编辑ForgeRock Identity Cloud API 的授权参数(API 密钥 ID 和 API 密钥秘钥)可以在 Identity Cloud 管理 UI 中创建。
日志
编辑AM_Access 事件
编辑这是 forgerock.am_access 数据集。这些日志捕获所有传入的 Identity Cloud 访问调用作为审计事件。这包括每次访问请求的用户、内容、时间和输出。有关 这些日志 的更多信息。
示例
am_access 的一个示例事件如下所示
{
"@timestamp": "2022-11-06T18:16:43.813Z",
"agent": {
"ephemeral_id": "82b02cc6-7222-4ccc-b7f4-4c1c55315484",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.am_access",
"namespace": "51919",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "AM-SESSION-IDLE_TIMED_OUT",
"agent_id_status": "verified",
"created": "2024-06-12T03:05:10.979Z",
"dataset": "forgerock.am_access",
"id": "688b24d9-968e-4a20-b471-9bd78f1e46ec-79599",
"ingested": "2024-06-12T03:05:14Z",
"type": [
"access"
]
},
"forgerock": {
"eventName": "AM-SESSION-IDLE_TIMED_OUT",
"level": "INFO",
"objectId": "688b24d9-968e-4a20-b471-9bd78f1e46ec-13901",
"realm": "/",
"source": "audit",
"topic": "activity",
"trackingIds": [
"688b24d9-968e-4a20-b471-9bd78f1e46ec-13901"
]
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"service": {
"name": "Session"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-am-access"
],
"transaction": {
"id": "688b24d9-968e-4a20-b471-9bd78f1e46ec-1"
},
"user": {
"id": "id=d7cd65bf-743c-4753-a78f-a20daae7e3bf,ou=user,ou=am-config"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.http.request.headers.* |
HTTP 请求的标头。 |
object |
forgerock.http.request.headers.accept |
请求的 accept 参数。 |
keyword |
forgerock.http.request.headers.accept-api-version |
HTTP 请求的 accept-api-version 标头。 |
keyword |
forgerock.http.request.headers.content-type |
HTTP 请求的 content-type 标头。 |
keyword |
forgerock.http.request.headers.host |
HTTP 请求的 host 标头。 |
keyword |
forgerock.http.request.headers.origin |
HTTP 请求的 origin 标头。 |
keyword |
forgerock.http.request.headers.user-agent |
HTTP 请求的 user-agent 标头。 |
keyword |
forgerock.http.request.headers.x-forwarded-for |
HTTP 请求的 x-forwarded-for 标头。 |
keyword |
forgerock.http.request.headers.x-forwarded-proto |
HTTP 请求的 x-forwaded-proto 标头。 |
keyword |
forgerock.http.request.headers.x-requested-with |
HTTP 请求的 x-requested with 标头。 |
keyword |
forgerock.http.request.queryParameters.* |
HTTP 请求的查询参数字符串。 |
object |
forgerock.http.request.secure |
一个描述 HTTP 请求是否安全的标志。 |
boolean |
forgerock.level |
日志级别。 |
keyword |
forgerock.objectId |
指定已创建、更新或删除的对象的标识符。 |
keyword |
forgerock.realm |
操作发生的领域。 |
keyword |
forgerock.request.detail.* |
有关响应状态的详细信息。 |
object |
forgerock.request.detail.action |
有关请求操作的详细信息。 |
keyword |
forgerock.request.detail.grant_type |
请求的 grant 类型。 |
keyword |
forgerock.request.detail.scope |
请求的作用域。 |
keyword |
forgerock.request.detail.token_type_hint |
请求的令牌类型。 |
keyword |
forgerock.request.operation |
请求操作。 |
keyword |
forgerock.request.protocol |
与请求关联的协议;REST 或 PLL。 |
keyword |
forgerock.response.detail.* |
有关响应状态的详细信息。 |
object |
forgerock.response.detail.active |
一个表示响应是否处于活动状态的标志。 |
boolean |
forgerock.response.detail.client_id |
响应的客户端 ID。 |
keyword |
forgerock.response.detail.revision |
响应的修订版。 |
keyword |
forgerock.response.detail.scope |
响应的作用域。 |
keyword |
forgerock.response.detail.token_type |
响应的令牌类型。 |
keyword |
forgerock.response.detail.username |
响应的用户名。 |
keyword |
forgerock.response.elapsedTime |
执行事件的时间。 |
日期 |
forgerock.response.elapsedTimeUnits |
响应时间的单位。 |
keyword |
forgerock.response.status |
状态指示符,通常为 SUCCESS/SUCCESSFUL 或 FAIL/FAILED。 |
keyword |
forgerock.roles |
与请求关联的 IDM 角色。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
forgerock.trackingIds |
指定一个唯一的随机字符串,该字符串生成为每个 AM 会话 ID 和 OAuth 2.0 令牌的别名。 |
keyword |
http.request.Path |
HTTP 请求的路径。 |
keyword |
input.type |
输入类型 |
keyword |
AM_Activity 事件
编辑这是 forgerock.am_activity 数据集。这些日志捕获由 Identity Cloud 最终用户创建、更新或删除的对象的状态更改。这包括会话、用户配置文件和设备配置文件更改。有关 这些日志 的更多信息。
示例
am_activity 的一个示例事件如下所示
{
"@timestamp": "2022-10-05T20:55:59.966Z",
"agent": {
"ephemeral_id": "9db3f780-4230-43f5-832f-203266705932",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.am_activity",
"namespace": "71478",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "AM-SESSION-CREATED",
"agent_id_status": "verified",
"created": "2024-06-12T03:05:53.025Z",
"dataset": "forgerock.am_activity",
"id": "45463f84-ff1b-499f-aa84-8d4bd93150de-438366",
"ingested": "2024-06-12T03:05:57Z",
"reason": "CREATE"
},
"forgerock": {
"level": "INFO",
"objectId": "45463f84-ff1b-499f-aa84-8d4bd93150de-438033",
"realm": "/",
"source": "audit",
"topic": "activity",
"trackingIds": [
"45463f84-ff1b-499f-aa84-8d4bd93150de-438033"
]
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"service": {
"name": "Session"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-am-activity"
],
"transaction": {
"id": "5ff83988-8f23-4108-9359-42658fcfc4d1-request-3/0"
},
"user": {
"effective": {
"id": "id=d7cd65bf-743c-4753-a78f-a20daae7e3bf,ou=user,ou=am-config"
},
"id": "id=d7cd65bf-743c-4753-a78f-a20daae7e3bf,ou=user,ou=am-config"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.after.* |
指定活动后对象的 JSON 表示形式。 |
object |
forgerock.before.* |
指定活动之前对象的 JSON 表示形式。 |
object |
forgerock.changedFields |
指定已更改的字段。 |
keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.objectId |
指定已创建、更新或删除的对象的标识符。 |
keyword |
forgerock.realm |
操作发生的领域。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
forgerock.trackingIds |
指定一个唯一的随机字符串,该字符串生成为每个 AM 会话 ID 和 OAuth 2.0 令牌的别名。 |
keyword |
input.type |
输入类型 |
keyword |
AM_Authentication 事件
编辑这是 forgerock.am_authentication 数据集。这些日志捕获用户何时以及如何进行身份验证以及相关的审计事件。有关 这些日志 的更多信息。
示例
am_authentication 的一个示例事件如下所示
{
"@timestamp": "2022-10-05T18:21:48.253Z",
"agent": {
"ephemeral_id": "2ffe10cc-935a-4457-869f-95b732cb0c8b",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.am_authentication",
"namespace": "88343",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "AM-LOGIN-COMPLETED",
"agent_id_status": "verified",
"category": [
"authentication"
],
"created": "2024-06-12T03:06:40.162Z",
"dataset": "forgerock.am_authentication",
"id": "45463f84-ff1b-499f-aa84-8d4bd93150de-256208",
"ingested": "2024-06-12T03:06:44Z",
"outcome": "success"
},
"forgerock": {
"entries": [
{
"info": {
"authIndex": "module_instance",
"authIndexValue": "Application",
"authLevel": "0",
"ipAddress": "1.128.0.0"
},
"moduleId": "Application"
}
],
"eventName": "AM-LOGIN-COMPLETED",
"level": "INFO",
"principal": [
"autoid-resource-server"
],
"realm": "/",
"source": "audit",
"topic": "authentication",
"trackingIds": [
"45463f84-ff1b-499f-aa84-8d4bd93150de-256204"
]
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"service": {
"name": "Authentication"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-am-authentication"
],
"transaction": {
"id": "1664994108247-9f138d8fc9f59d23164c-26466/0"
},
"user": {
"id": "id=autoid-resource-server,ou=agent,ou=am-config"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.entries |
身份验证模块、链、树或节点的详细信息的 JSON 表示形式。 |
flattened |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.principal |
用于身份验证的帐户数组。 |
keyword |
forgerock.realm |
操作发生的领域。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
forgerock.trackingIds |
指定一个唯一的随机字符串,该字符串生成为每个 AM 会话 ID 和 OAuth 2.0 令牌的别名。 |
keyword |
input.type |
输入类型 |
keyword |
AM_Config 事件
编辑这是 forgerock.am_config 数据集。这些日志捕获 Identity Cloud 的访问管理配置更改,其中包含时间戳和更改者。有关 这些日志 的更多信息。
示例
am_config 的一个示例事件如下所示
{
"@timestamp": "2022-09-20T14:40:10.664Z",
"agent": {
"ephemeral_id": "4afe06fa-469e-40e2-babb-b30baf137536",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.am_config",
"namespace": "65246",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "AM-CONFIG-CHANGE",
"agent_id_status": "verified",
"category": [
"configuration"
],
"created": "2024-06-12T03:07:28.334Z",
"dataset": "forgerock.am_config",
"id": "4e8550cd-71d6-4a08-b5b0-bb63bcbbc960-20605",
"ingested": "2024-06-12T03:07:31Z"
},
"forgerock": {
"level": "INFO",
"objectId": "ou=test,ou=agentgroup,ou=OrganizationConfig,ou=1.0,ou=AgentService,ou=services,o=alpha,ou=services,ou=am-config",
"operation": "CREATE",
"realm": "/alpha",
"source": "audit",
"topic": "config",
"trackingIds": [
"4e8550cd-71d6-4a08-b5b0-bb63bcbbc960-5563"
]
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-am-config"
],
"transaction": {
"id": "1663684810619-c42f8145dec437c43428-2465/0"
},
"user": {
"effective": {
"id": "id=dsameuser,ou=user,ou=am-config"
},
"id": "id=d7cd65bf-743c-4753-a78f-a20daae7e3bf,ou=user,ou=am-config"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.changedFields |
指定已更改的字段。 |
keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.objectId |
指定已创建、更新或删除的对象的标识符。 |
keyword |
forgerock.operation |
调用的状态更改操作。 |
keyword |
forgerock.realm |
操作发生的领域。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
forgerock.trackingIds |
指定一个唯一的随机字符串,该字符串生成为每个 AM 会话 ID 和 OAuth 2.0 令牌的别名。 |
keyword |
input.type |
输入类型 |
keyword |
AM_Core 事件
编辑这是 forgerock.am_core 数据集。这些日志捕获 Identity Cloud 的访问管理调试日志。有关 这些日志 的更多信息。
示例
am_core 的一个示例事件如下所示
{
"@timestamp": "2022-12-05T19:29:20.845Z",
"agent": {
"ephemeral_id": "b802141d-9281-4caa-bb31-d5561f968ee5",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.am_core",
"namespace": "90018",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-06-12T03:08:15.631Z",
"dataset": "forgerock.am_core",
"ingested": "2024-06-12T03:08:19Z",
"reason": "Connection attempt failed: availableConnections=0, maxPoolSize=10"
},
"forgerock": {
"context": "default"
},
"input": {
"type": "httpjson"
},
"log": {
"level": "DEBUG",
"logger": "org.forgerock.opendj.ldap.CachedConnectionPool"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"process": {
"name": "LDAP SDK Default Scheduler"
},
"tags": [
"forwarded",
"forgerock-debug",
"forgerock-am-core"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.context |
调试事件的上下文。 |
keyword |
input.type |
输入类型 |
keyword |
IDM_access 事件
编辑这是 forgerock.idm_access 数据集。这些日志捕获身份管理 REST 端点的消息以及计划任务的调用。这是 Identity Cloud 中每个身份管理访问请求的用户、内容和输出。有关 这些日志 的更多信息。
示例
idm_access 的一个示例事件如下所示
{
"@timestamp": "2022-11-01T15:04:50.110Z",
"agent": {
"ephemeral_id": "1c6538cf-fe70-498c-8919-a60c26ffcfac",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"client": {
"ip": "216.160.83.56",
"port": 56278
},
"data_stream": {
"dataset": "forgerock.idm_access",
"namespace": "61539",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-06-12T03:09:02.660Z",
"dataset": "forgerock.idm_access",
"duration": 2000000,
"id": "a9a32d9e-7029-45e6-b581-eafb5d502273-49025",
"ingested": "2024-06-12T03:09:14Z",
"outcome": "success",
"type": [
"access"
]
},
"forgerock": {
"eventName": "access",
"http": {
"request": {
"headers": {
"host": [
"idm"
]
},
"secure": false
}
},
"level": "INFO",
"request": {
"operation": "READ",
"protocol": "CREST"
},
"response": {
"elapsedTime": 2,
"elapsedTimeUnits": "MILLISECONDS",
"status": "SUCCESSFUL"
},
"roles": [
"internal/role/openidm-reg"
],
"source": "audit",
"topic": "access"
},
"http": {
"request": {
"Path": "https://idm/openidm/info/ping",
"method": "GET"
},
"response": {
"status_code": 200
}
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"server": {
"ip": "81.2.69.142"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-idm-access"
],
"transaction": {
"id": "a9a32d9e-7029-45e6-b581-eafb5d502273-49021"
},
"user": {
"id": "anonymous"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.http.request.headers.host |
HTTP 请求的 host 标头。 |
keyword |
forgerock.http.request.secure |
一个描述 HTTP 请求是否安全的标志。 |
boolean |
forgerock.level |
日志级别。 |
keyword |
forgerock.request.operation |
请求操作。 |
keyword |
forgerock.request.protocol |
与请求关联的协议;REST 或 PLL。 |
keyword |
forgerock.response.elapsedTime |
执行事件的时间。 |
日期 |
forgerock.response.elapsedTimeUnits |
响应时间的单位。 |
keyword |
forgerock.response.status |
状态指示符,通常为 SUCCESS/SUCCESSFUL 或 FAIL/FAILED。 |
keyword |
forgerock.roles |
与请求关联的 IDM 角色。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
http.request.Path |
HTTP 请求的路径。 |
keyword |
input.type |
输入类型 |
keyword |
IDM_activity 事件
编辑这是 forgerock.idm_activity 数据集。这些日志捕获 Identity Cloud 中内部(托管)和外部(系统)对象的操作。idm-activity 日志记录对身份内容所做的更改,例如添加或更新用户、更改密码等。有关 这些日志 的更多信息。
示例
idm_activity 的一个示例事件如下所示
{
"@timestamp": "2022-11-01T18:02:39.882Z",
"agent": {
"ephemeral_id": "18f29cf6-4b37-4c4d-8d49-91bf8719e14c",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.idm_activity",
"namespace": "89179",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-06-12T03:09:56.979Z",
"dataset": "forgerock.idm_activity",
"id": "a9a32d9e-7029-45e6-b581-eafb5d502273-268906",
"ingested": "2024-06-12T03:10:08Z",
"outcome": "success"
},
"forgerock": {
"eventName": "relationship_created",
"level": "INFO",
"message": "Relationship originating from managed/alpha_organization/e6df3df4-c798-4187-ba06-db8e6ae3db88 via the relationship field parent and referencing managed/alpha_organization/c4de605d-9d1b-439e-9ea8-9aba47e01008 was created.",
"objectId": "managed/alpha_organization/e6df3df4-c798-4187-ba06-db8e6ae3db88/parent/bb20cd10-e6ad-48fd-8ef1-e8d4c3f7859f",
"operation": "CREATE",
"passwordChanged": false,
"revision": "00000000478fd92b",
"source": "audit",
"topic": "activity"
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-idm-activity"
],
"transaction": {
"id": "1667325742545-ee41d6454a6b4a815b69-24798/0"
},
"user": {
"effective": {
"id": "9120c7db-d7e6-4b51-b805-07bbee7a4bb9"
},
"id": "9120c7db-d7e6-4b51-b805-07bbee7a4bb9"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.message |
关于操作的人类可读文本。 |
keyword |
forgerock.objectId |
指定已创建、更新或删除的对象的标识符。 |
keyword |
forgerock.operation |
调用的状态更改操作。 |
keyword |
forgerock.passwordChanged |
指定是否对密码进行了更改的布尔值。 |
boolean |
forgerock.revision |
指定对象修订号。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
input.type |
输入类型 |
keyword |
IDM_authentication 事件
编辑这是 forgerock.idm_authentication 数据集。这些日志捕获在您向 /openidm 端点进行身份验证以完成对象上的某些操作时的结果。有关 这些日志 的更多信息。
示例
idm_authentication 的一个示例事件如下所示
{
"@timestamp": "2022-10-05T18:21:48.253Z",
"agent": {
"ephemeral_id": "a585941c-cf1b-4f9e-ab31-9f02ad2f3a8d",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.idm_authentication",
"namespace": "54220",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"authentication"
],
"created": "2024-06-12T03:10:55.079Z",
"dataset": "forgerock.idm_authentication",
"id": "45463f84-ff1b-499f-aa84-8d4bd93150de-256208",
"ingested": "2024-06-12T03:11:07Z",
"outcome": "success"
},
"forgerock": {
"entries": [
{
"info": {
"authIndex": "module_instance",
"authIndexValue": "Application",
"authLevel": "0",
"ipAddress": "1.128.0.0"
},
"moduleId": "Application"
}
],
"eventName": "authentication",
"level": "INFO",
"method": "MANAGED_USER",
"principal": [
"openidm-admin"
],
"result": "SUCCESSFUL",
"topic": "authentication",
"trackingIds": [
"45463f84-ff1b-499f-aa84-8d4bd93150de-256204"
]
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-idm-authentication"
],
"transaction": {
"id": "1664994108247-9f138d8fc9f59d23164c-26466/0"
},
"user": {
"id": "id=user"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.entries |
身份验证模块、链、树或节点的详细信息的 JSON 表示形式。 |
flattened |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.method |
身份验证方法,例如 |
keyword |
forgerock.principal |
用于身份验证的帐户数组。 |
keyword |
forgerock.result |
状态指示符,通常为 SUCCESS/SUCCESSFUL 或 FAIL/FAILED。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
forgerock.trackingIds |
指定一个唯一的随机字符串,该字符串生成为每个 AM 会话 ID 和 OAuth 2.0 令牌的别名。 |
keyword |
input.type |
输入类型 |
keyword |
IDM_config 事件
编辑这是 forgerock.idm_config 数据集。这些日志捕获 Identity Cloud 的配置更改,其中包含时间戳和更改者。有关 这些日志 的更多信息。
示例
idm_config 的一个示例事件如下所示
{
"@timestamp": "2022-10-19T16:12:12.549Z",
"agent": {
"ephemeral_id": "fb37ec3d-49b8-4a56-8540-f9bf8f749477",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.idm_config",
"namespace": "74292",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"configuration"
],
"created": "2024-06-12T03:11:48.197Z",
"dataset": "forgerock.idm_config",
"id": "5e787c05-c32f-40d3-9e77-666376f6738f-134332",
"ingested": "2024-06-12T03:12:00Z"
},
"forgerock": {
"changedFields": [
"/mappings"
],
"eventName": "CONFIG",
"level": "INFO",
"objectId": "sync",
"source": "audit",
"topic": "config"
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-idm-config"
],
"transaction": {
"id": "1666195908296-b802a87436c00618a43e-13149/0"
},
"user": {
"effective": {
"id": "d7cd65bf-743c-4753-a78f-a20daae7e3bf"
},
"id": "d7cd65bf-743c-4753-a78f-a20daae7e3bf"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.changedFields |
指定已更改的字段。 |
keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.objectId |
指定已创建、更新或删除的对象的标识符。 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
input.type |
输入类型 |
keyword |
IDM_core 事件
编辑这是 forgerock.idm_core 数据集。这些日志捕获 Identity Cloud 的身份管理调试日志。有关 这些日志 的更多信息。
示例
idm_core 的一个示例事件如下所示
{
"@timestamp": "2022-12-05T20:01:34.448Z",
"agent": {
"ephemeral_id": "0ecd4e49-8926-4644-a9ac-e464dcb4f31c",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.idm_core",
"namespace": "52603",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-06-12T03:12:40.380Z",
"dataset": "forgerock.idm_core",
"ingested": "2024-06-12T03:12:52Z",
"reason": "Dec 05, 2022 8:01:34 PM org.forgerock.openidm.internal.InternalObjectSet readInstance"
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"tags": [
"forwarded",
"forgerock-debug",
"forgerock-idm-core"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.idm_core.message |
keyword |
|
forgerock.idm_core.name |
keyword |
|
forgerock.idm_core.target |
keyword |
|
forgerock.idm_core.type |
keyword |
|
input.type |
输入类型 |
keyword |
IDM_sync 事件
编辑这是 forgerock.idm_sync 数据集。这些日志记录了对对象所做的任何更改,当您将存储库映射到 Identity Cloud 时,会导致自动同步(实时同步和隐式同步)发生。有关这些日志的更多信息。
示例
一个 idm_sync 事件的示例如下所示
{
"@timestamp": "2022-10-19T16:09:17.900Z",
"agent": {
"ephemeral_id": "9597c9be-7da7-4082-890f-94632a9bdfed",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "forgerock.idm_sync",
"namespace": "29113",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-06-12T03:13:33.362Z",
"dataset": "forgerock.idm_sync",
"id": "5e787c05-c32f-40d3-9e77-666376f6738f-130280",
"ingested": "2024-06-12T03:13:45Z",
"outcome": "success"
},
"forgerock": {
"action": "ASYNC",
"eventName": "sync",
"level": "INFO",
"linkQualifier": "default",
"mapping": "managedalpha_user_managedMarketinglist",
"situation": "SOURCE_IGNORED",
"source": "audit",
"sourceObjectId": "managed/alpha_user/9d88b635-9b7a-48d3-9a57-1978b99a5f41",
"topic": "sync"
},
"input": {
"type": "httpjson"
},
"observer": {
"vendor": "ForgeRock Identity Platform"
},
"tags": [
"forwarded",
"forgerock-audit",
"forgerock-idm-sync"
],
"transaction": {
"id": "1666195747447-56a35455016b7da218a6-11991/0"
},
"user": {
"id": "d7cd65bf-743c-4753-a78f-a20daae7e3bf"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,而数据流命名方案现在默认提供了这种最佳实践。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
forgerock.action |
同步操作,以通用 REST 操作形式描述。 |
keyword |
forgerock.eventName |
审计事件的名称。 |
keyword |
forgerock.level |
日志级别。 |
keyword |
forgerock.linkQualifier |
应用于操作的 ForgeRock 链接限定符。 |
keyword |
forgerock.mapping |
用于同步操作的映射的名称。 |
keyword |
forgerock.situation |
同步情况,如文档 https://backstage.forgerock.com/docs/idm/7.2/synchronization-guide/chap-situations-actions.html#sync-situations 中所述 |
keyword |
forgerock.source |
事件的来源。 |
keyword |
forgerock.sourceObjectId |
源系统上的对象 ID。 |
keyword |
forgerock.targetObjectId |
目标系统上的对象 ID |
keyword |
forgerock.topic |
事件的主题。 |
keyword |
input.type |
输入类型 |
keyword |
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.20.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.18.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.18.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.18.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.18.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.17.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.14.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |