« 自定义 Kafka 日志集成 Kubernetes »
Elastic 文档 Elastic 集成

Keycloak 集成

编辑

Keycloak 集成

编辑

版本

1.25.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

Keycloak 集成从 Keycloak 日志文件中收集事件。

要启用所有 Keycloak 事件的日志记录,例如登录、用户创建/更新/删除……请添加以下内容

    <logger category="org.keycloak.events">
        <level name="DEBUG"/>
    </logger>

到您的配置 XML 文件(即 standalone.xml),路径如下

<server>
    <profile>
        <subsystem xmlns="urn:jboss:domain:logging:8.0">
            ....
        </subsystem>
    </profile>
</server>

注意

  • Keycloak 日志文件可能包含多行日志。 为了处理这些日志,在部署集成时,应将 多行配置 添加到解析器部分。

日志

编辑

日志

编辑
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

关键字

data_stream.dataset

数据流数据集名称。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

input.type

Filebeat 输入的类型。

关键字

keycloak.admin.operation

Keycloak 管理操作;添加、更新、删除

关键字

keycloak.admin.resource.path

受影响资源的路径

关键字

keycloak.admin.resource.type

正在对其执行操作的 Keycloak 资源类型;组、用户、客户端、作用域……

关键字

keycloak.client.id

Keycloak 客户端的 ID

关键字

keycloak.event_type

Keycloak 事件类型;登录或管理

关键字

keycloak.login.auth_method

Keycloak 身份验证方法(SAML 或 OpenID Connect)

关键字

keycloak.login.auth_session_parent_id

父会话 ID

关键字

keycloak.login.auth_session_tab_id

会话选项卡 ID

关键字

keycloak.login.auth_type

OpenID Connect 身份验证类型(代码、隐式……)

关键字

keycloak.login.code_id

OpenID Connect 代码 ID

关键字

keycloak.login.redirect_uri

Keycloak 重定向 URL

关键字

keycloak.login.type

事件类型

关键字

keycloak.realm.id

Keycloak Realm ID

关键字

log.file.device_id

包含文件所在文件系统的设备的 ID。

关键字

log.file.fingerprint

启用指纹识别时,文件的 sha256 指纹标识。

关键字

log.file.idxhi

与文件关联的唯一标识符的高位部分。(仅限 Windows)

关键字

log.file.idxlo

与文件关联的唯一标识符的低位部分。(仅限 Windows)

关键字

log.file.inode

日志文件的 inode 号。

关键字

log.file.vol

包含文件的卷的序列号。(仅限 Windows)

关键字

log.flags

日志文件的标志。

关键字

log.offset

日志文件中条目的偏移量。

长整型

url.scheme

示例

对于 log,示例事件如下所示

{
    "@timestamp": "2021-10-22T21:01:42.667-05:00",
    "agent": {
        "ephemeral_id": "bb6d890f-5c05-4247-b410-8f3b914e5293",
        "id": "d053789b-7b04-4a8c-b06c-ca79014bb61a",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.2"
    },
    "data_stream": {
        "dataset": "keycloak.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "d053789b-7b04-4a8c-b06c-ca79014bb61a",
        "snapshot": false,
        "version": "8.10.2"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "keycloak.log",
        "ingested": "2023-10-03T10:29:46Z",
        "original": "2021-10-22 21:01:42,667 INFO  [org.jboss.resteasy.resteasy_jaxrs.i18n] (ServerService Thread Pool -- 64) RESTEASY002220: Adding singleton resource org.keycloak.services.resources.admin.AdminRoot from Application class org.keycloak.services.resources.KeycloakApplication",
        "timezone": "-05:00"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": true,
        "hostname": "docker-fleet-agent",
        "id": "efe661d97f0c4d9883075c393da6b0d8",
        "ip": [
            "172.30.0.7"
        ],
        "mac": [
            "02-42-AC-1E-00-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.15.90.1-microsoft-standard-WSL2",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "filestream"
    },
    "log": {
        "file": {
            "device_id": 2080,
            "inode": 90612,
            "path": "/tmp/service_logs/test-log.log"
        },
        "level": "INFO",
        "logger": "org.jboss.resteasy.resteasy_jaxrs.i18n",
        "offset": 658
    },
    "message": "RESTEASY002220: Adding singleton resource org.keycloak.services.resources.admin.AdminRoot from Application class org.keycloak.services.resources.KeycloakApplication",
    "process": {
        "thread": {
            "name": "ServerService Thread Pool -- 64"
        }
    },
    "tags": [
        "preserve_original_event",
        "keycloak-log"
    ]
}

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.25.0

增强功能 (查看拉取请求)
在主摄取管道中不删除 event.original

8.13.0 或更高版本

1.24.0

增强功能 (查看拉取请求)
将 "preserve_original_event" 标记添加到 event.kind 设置为 "pipeline_error" 的文档中。

8.13.0 或更高版本

1.23.2

Bug 修复 (查看拉取请求)
在摄取管道中引用变量时,请使用三花括号 Mustache 模板。

8.13.0 或更高版本

1.23.1

Bug 修复 (查看拉取请求)
在摄取管道中引用变量时,请使用三花括号 Mustache 模板。

8.13.0 或更高版本

1.23.0

增强功能 (查看拉取请求)
使条件可配置,以控制何时应用日志数据流。

8.13.0 或更高版本

1.22.3

Bug 修复 (查看拉取请求)
修复管道条件中缺少的值。

8.13.0 或更高版本

1.22.2

Bug 修复 (查看拉取请求)
增强了 kv 处理器,以正确修剪转义序列。

8.13.0 或更高版本

1.22.1

Bug 修复 (查看拉取请求)
修复了解析器配置默认值,并更新了 GROK 模式以适应多行日志。

8.13.0 或更高版本

1.22.0

增强功能 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使之冗余的 ECS 字段。

8.13.0 或更高版本

1.21.0

增强功能 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

7.16.0 或更高版本
8.0.0 或更高版本

1.20.1

增强功能 (查看拉取请求)
已更改所有者

7.16.0 或更高版本
8.0.0 或更高版本

1.20.0

增强功能 (查看拉取请求)
使 Keycloak 日志的解析器可配置。

7.16.0 或更高版本
8.0.0 或更高版本

1.19.0

增强功能 (查看拉取请求)
ECS 版本已更新到 8.11.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.18.0

增强功能 (查看拉取请求)
改进了 event.original 检查,以避免在设置时出现错误。

7.16.0 或更高版本
8.0.0 或更高版本

1.17.0

增强功能 (查看拉取请求)
调整字段以适应文件系统信息的更改

7.16.0 或更高版本
8.0.0 或更高版本

1.16.0

增强功能 (查看拉取请求)
设置 社区 所有者类型。

7.16.0 或更高版本
8.0.0 或更高版本

1.15.0

增强功能 (查看拉取请求)
将程序包 format_version 更新为 3.0.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.14.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.10.0 并对齐 ECS 分类字段。

7.16.0 或更高版本
8.0.0 或更高版本

1.13.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成的仪表板和已保存的搜索,并在安全解决方案 UI 中显示。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.9.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.11.0

增强功能 (查看拉取请求)
将 package-spec 更新为 2.9.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.10.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.16.0 或更高版本
8.0.0 或更高版本

1.9.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.8.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.2

增强功能 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.1

Bug 修复 (查看拉取请求)
确保正确解释数字时区。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.6.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

增强功能 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.4.2

Bug 修复 (查看拉取请求)
修复 时区偏移 描述中的拼写错误。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

增强功能 (查看拉取请求)
更新程序包名称和描述,以与标准措辞保持一致

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
将程序包更新为 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.1

增强功能 (查看拉取请求)
添加指向 keycloak 文档的链接

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
更新到 ECS 8.2

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

增强功能 (查看拉取请求)
添加多字段文档

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强功能 (查看拉取请求)
更新到 ECS 8.0

7.16.0 或更高版本
8.0.0 或更高版本

1.1.0

增强功能 (查看拉取请求)
添加 8.0.0 版本约束

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
初始版本

7.16.0 或更高版本
« 自定义 Kafka 日志集成 Kubernetes »