› ›

Okta 集成

版本	3.3.0 (查看全部)
兼容的 Kibana 版本	8.15.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

Okta 集成从 Okta API 收集事件，特别是从 Okta 系统日志 API 读取。

日志

编辑

系统

编辑

Okta 系统日志记录与您的组织相关的系统事件，以便提供一个审计跟踪，可用于了解平台活动并诊断问题。此模块使用 httpjson 输入实现，并配置为在遵循 Okta 发送的任何速率限制标头的情况下分页浏览日志。

身份验证类型

编辑

API 密钥

编辑

在这种类型的身份验证中，我们只需要一个 API 密钥来验证客户端并轮询 Okta 系统日志。

Oauth2

编辑

在这种类型的身份验证中，我们需要以下信息

您的 Okta 域名 URL。[示例：https://dev-123456.okta.com ]
您的 Okta 服务应用程序客户端 ID。
您的 Okta 服务应用程序 JWK 私钥
OAuth2 所需的 Okta 范围。[默认情况下，此项设置为 okta.logs.read，这应该足以满足大多数用例 ]

获取 Okta Oauth2 凭据的步骤

获取一个具有使用 okta.* 范围生成令牌的权限的 Okta 开发或用户帐户。
登录到您的 Okta 帐户，导航到左侧的 应用程序，单击 创建应用程序集成 按钮并创建一个 API 服务应用程序。
单击已创建的应用程序，记下 客户端 ID 并选择 公钥/私钥 的选项。
以 JWK 格式（目前不支持 PEM）生成您自己的 私钥/公钥 对，并将其保存在凭据 JSON 文件中或复制以直接在配置中使用。

Okta 集成网络 (OIN)

编辑

Okta 集成网络提供基于 OAuth2 的简单集成身份验证，但使用 API 密钥。在这种类型的身份验证中，我们只需要一个 API 密钥来验证客户端并轮询 Okta 系统日志。

您的 Okta 域名 URL。[示例：https://dev-123456.okta.com ]
您的 Okta 服务应用程序客户端 ID。
您的 Okta 服务应用程序客户端密钥。

配置 Okta OIN 身份验证的步骤

登录到您的 Okta 帐户，导航到左侧的 应用程序，单击 浏览应用目录 按钮并搜索“Elastic”。
单击 Elastic 应用卡，然后单击 添加集成，然后单击 安装并授权。
复制客户端密钥。
导航到该集成的 Fleet 集成配置页面。
从 Okta 应用程序的值设置“Okta 系统日志 API URL”字段，并在 UI 文档中显示那样添加 URL 路径 “/api/v1/logs”。
从 Okta 应用程序的值设置 “Okta 域名 URL”字段。
使用 Okta 应用程序提供的客户端 ID 设置 “客户端 ID”字段。
将“API 密钥”字段设置为 Okta 应用程序提供的客户端密钥。
将 “使用 OIN 身份验证”切换设置为 true。

注意：具有 okta.* 范围的令牌通常从 Okta Org Auth 服务器生成，而不是默认/自定义授权服务器。用于生成令牌的标准 Okta Org Auth 服务器端点是 https://<your_okta_org>.okta.com/oauth2/v1/token

示例

用于 system 的示例事件如下所示

{
    "@timestamp": "2020-02-14T20:18:57.718Z",
    "agent": {
        "ephemeral_id": "6ac1caae-4aba-4b61-8408-14b46e15b668",
        "id": "c3650180-e3d1-4dad-9094-89c988e721d7",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "client": {
        "geo": {
            "city_name": "Dublin",
            "country_name": "United States",
            "location": {
                "lat": 37.7201,
                "lon": -121.919
            },
            "region_name": "California"
        },
        "ip": "108.255.197.247",
        "user": {
            "full_name": "xxxxxx",
            "id": "00u1abvz4pYqdM8ms4x6",
            "name": "xxxxxx"
        }
    },
    "data_stream": {
        "dataset": "okta.system",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "c3650180-e3d1-4dad-9094-89c988e721d7",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "user.session.start",
        "agent_id_status": "verified",
        "category": [
            "authentication",
            "session"
        ],
        "created": "2024-05-17T05:51:14.737Z",
        "dataset": "okta.system",
        "id": "3aeede38-4f67-11ea-abd3-1f5d113f2546",
        "ingested": "2024-05-17T05:51:24Z",
        "kind": "event",
        "original": "{\"actor\":{\"alternateId\":\"[email protected]\",\"detailEntry\":null,\"displayName\":\"xxxxxx\",\"id\":\"00u1abvz4pYqdM8ms4x6\",\"type\":\"User\"},\"authenticationContext\":{\"authenticationProvider\":null,\"authenticationStep\":0,\"credentialProvider\":null,\"credentialType\":null,\"externalSessionId\":\"102bZDNFfWaQSyEZQuDgWt-uQ\",\"interface\":null,\"issuer\":null},\"client\":{\"device\":\"Computer\",\"geographicalContext\":{\"city\":\"Dublin\",\"country\":\"United States\",\"geolocation\":{\"lat\":37.7201,\"lon\":-121.919},\"postalCode\":\"94568\",\"state\":\"California\"},\"id\":null,\"ipAddress\":\"108.255.197.247\",\"userAgent\":{\"browser\":\"FIREFOX\",\"os\":\"Mac OS X\",\"rawUserAgent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:72.0) Gecko/20100101 Firefox/72.0\"},\"zone\":\"null\"},\"debugContext\":{\"debugData\":{\"deviceFingerprint\":\"541daf91d15bef64a7e08c946fd9a9d0\",\"requestId\":\"XkcAsWb8WjwDP76xh@1v8wAABp0\",\"requestUri\":\"/api/v1/authn\",\"threatSuspected\":\"false\",\"url\":\"/api/v1/authn?\"}},\"displayMessage\":\"User login to Okta\",\"eventType\":\"user.session.start\",\"legacyEventType\":\"core.user_auth.login_success\",\"outcome\":{\"reason\":null,\"result\":\"SUCCESS\"},\"published\":\"2020-02-14T20:18:57.718Z\",\"request\":{\"ipChain\":[{\"geographicalContext\":{\"city\":\"Dublin\",\"country\":\"United States\",\"geolocation\":{\"lat\":37.7201,\"lon\":-121.919},\"postalCode\":\"94568\",\"state\":\"California\"},\"ip\":\"108.255.197.247\",\"source\":null,\"version\":\"V4\"}]},\"securityContext\":{\"asNumber\":null,\"asOrg\":null,\"domain\":null,\"isProxy\":null,\"isp\":null},\"severity\":\"INFO\",\"target\":null,\"transaction\":{\"detail\":{},\"id\":\"XkcAsWb8WjwDP76xh@1v8wAABp0\",\"type\":\"WEB\"},\"uuid\":\"3aeede38-4f67-11ea-abd3-1f5d113f2546\",\"version\":\"0\"}",
        "outcome": "success",
        "type": [
            "start",
            "info"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "okta": {
        "actor": {
            "alternate_id": "[email protected]",
            "display_name": "xxxxxx",
            "id": "00u1abvz4pYqdM8ms4x6",
            "type": "User"
        },
        "authentication_context": {
            "authentication_step": 0,
            "external_session_id": "102bZDNFfWaQSyEZQuDgWt-uQ"
        },
        "client": {
            "device": "Computer",
            "ip": "108.255.197.247",
            "user_agent": {
                "browser": "FIREFOX",
                "os": "Mac OS X",
                "raw_user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:72.0) Gecko/20100101 Firefox/72.0"
            },
            "zone": "null"
        },
        "debug_context": {
            "debug_data": {
                "device_fingerprint": "541daf91d15bef64a7e08c946fd9a9d0",
                "flattened": {
                    "deviceFingerprint": "541daf91d15bef64a7e08c946fd9a9d0",
                    "requestId": "XkcAsWb8WjwDP76xh@1v8wAABp0",
                    "requestUri": "/api/v1/authn",
                    "threatSuspected": "false",
                    "url": "/api/v1/authn?"
                },
                "request_id": "XkcAsWb8WjwDP76xh@1v8wAABp0",
                "request_uri": "/api/v1/authn",
                "threat_suspected": "false",
                "url": "/api/v1/authn?"
            }
        },
        "display_message": "User login to Okta",
        "event_type": "user.session.start",
        "outcome": {
            "result": "SUCCESS"
        },
        "request": {
            "ip_chain": [
                {
                    "geographical_context": {
                        "city": "Dublin",
                        "country": "United States",
                        "geolocation": {
                            "lat": 37.7201,
                            "lon": -121.919
                        },
                        "postal_code": "94568",
                        "state": "California"
                    },
                    "ip": "108.255.197.247",
                    "version": "V4"
                }
            ]
        },
        "transaction": {
            "id": "XkcAsWb8WjwDP76xh@1v8wAABp0",
            "type": "WEB"
        },
        "uuid": "3aeede38-4f67-11ea-abd3-1f5d113f2546"
    },
    "related": {
        "ip": [
            "108.255.197.247"
        ],
        "user": [
            "xxxxxx"
        ]
    },
    "source": {
        "ip": "108.255.197.247",
        "user": {
            "full_name": "xxxxxx",
            "id": "00u1abvz4pYqdM8ms4x6",
            "name": "xxxxxx"
        }
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "okta-system"
    ],
    "user": {
        "full_name": "xxxxxx",
        "name": "xxxxxx"
    },
    "user_agent": {
        "device": {
            "name": "Mac"
        },
        "name": "Firefox",
        "original": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:72.0) Gecko/20100101 Firefox/72.0",
        "os": {
            "full": "Mac OS X 10.15",
            "name": "Mac OS X",
            "version": "10.15"
        },
        "version": "72.0."
    }
}

导出的字段

字段	描述	类型
@timestamp	事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	该字段可以包含任何有助于表示数据来源的内容。示例包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他适合的数据流，但未设置数据集，我们对数据集值使用值“generic”。`event.dataset` 应具有与 `data_stream.dataset` 相同的值。除了上面提到的 Elasticsearch 数据流命名条件外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引，并且数据流命名方案现在默认提供此最佳实践。许多用户将使用 `default` 填充此字段。如果未使用任何值，则会回退到 `default`。除了上面提到的 Elasticsearch 索引命名条件外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
event.dataset	数据集的名称。如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不是必需从模块名称开始数据集名称，后跟一个点，然后是数据集名称。	constant_keyword
event.module	此数据来自的模块的名称。如果您的监视代理支持模块或插件的概念来处理给定源的事件（例如，Apache 日志），则 `event.module` 应包含此模块的名称。	constant_keyword
host.containerized	如果主机是容器。	boolean
host.os.build	操作系统构建信息。	keyword
host.os.codename	操作系统代码名称（如果有）。	keyword
input.type	Filebeat 输入的类型。	keyword
log.flags	日志文件的标志。	keyword
log.offset	日志文件中条目的偏移量。	long
okta.actor.alternate_id	参与者的备用标识符。	keyword
okta.actor.display_name	参与者的显示名称。	keyword
okta.actor.id	参与者的标识符。	keyword
okta.actor.type	参与者的类型。	keyword
okta.authentication_context.authentication_provider	有关身份验证提供程序的信息。必须是 OKTA_AUTHENTICATION_PROVIDER、ACTIVE_DIRECTORY、LDAP、FEDERATION、SOCIAL、FACTOR_PROVIDER 之一。	keyword
okta.authentication_context.authentication_step	身份验证步骤。	integer
okta.authentication_context.credential_provider	有关凭据提供程序的信息。必须是 OKTA_CREDENTIAL_PROVIDER、RSA、SYMANTEC、GOOGLE、DUO、YUBIKEY 之一。	keyword
okta.authentication_context.credential_type	有关凭据类型的信息。必须是 OTP、SMS、PASSWORD、ASSERTION、IWA、EMAIL、OAUTH2、JWT、CERTIFICATE、PRE_SHARED_SYMMETRIC_KEY、OKTA_CLIENT_SESSION、DEVICE_UDID 之一。	keyword
okta.authentication_context.external_session_id	外部会话的会话标识符（如果有）。	keyword
okta.authentication_context.interface	使用的接口。例如，Outlook、Office365、wsTrust	keyword
okta.authentication_context.issuer.id	颁发者的标识符。	keyword
okta.authentication_context.issuer.type	颁发者的类型。	keyword
okta.client.device	客户端设备的信息。	keyword
okta.client.id	客户端的标识符。	keyword
okta.client.ip	客户端的 IP 地址。	ip
okta.client.user_agent.browser	客户端的浏览器信息。	keyword
okta.client.user_agent.os	操作系统信息。	keyword
okta.client.user_agent.raw_user_agent	用户代理的原始信息。	keyword
okta.client.zone	客户端的区域信息。	keyword
okta.debug_context.debug_data		object
okta.debug_context.debug_data.authnRequestId	授权请求 ID。	keyword
okta.debug_context.debug_data.behaviors		keyword
okta.debug_context.debug_data.behaviors.New_City		keyword
okta.debug_context.debug_data.behaviors.New_Country		keyword
okta.debug_context.debug_data.behaviors.New_Device		keyword
okta.debug_context.debug_data.behaviors.New_Geo_Location		keyword
okta.debug_context.debug_data.behaviors.New_IP		keyword
okta.debug_context.debug_data.behaviors.New_State		keyword
okta.debug_context.debug_data.behaviors.Velocity		keyword
okta.debug_context.debug_data.behaviors.Velocity_Behavior		keyword
okta.debug_context.debug_data.client_secret		keyword
okta.debug_context.debug_data.device_fingerprint	设备的指纹。	keyword
okta.debug_context.debug_data.dt_hash	设备令牌哈希值	keyword
okta.debug_context.debug_data.factor	用于身份验证的因素。	keyword
okta.debug_context.debug_data.flattened	完整的 debug_data 对象。	flattened
okta.debug_context.debug_data.grant_type		keyword
okta.debug_context.debug_data.granted_scopes		keyword
okta.debug_context.debug_data.logOnlySecurityData		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.New_City		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.New_Country		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.New_Device		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.New_Geo_Location		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.New_IP		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.New_State		keyword
okta.debug_context.debug_data.logOnlySecurityData.behaviors.Velocity		keyword
okta.debug_context.debug_data.logOnlySecurityData.risk		keyword
okta.debug_context.debug_data.logOnlySecurityData.risk.level		keyword
okta.debug_context.debug_data.logOnlySecurityData.risk.reasons		keyword
okta.debug_context.debug_data.originalPrincipal		keyword
okta.debug_context.debug_data.originalPrincipal.alternateId		keyword
okta.debug_context.debug_data.originalPrincipal.displayName		keyword
okta.debug_context.debug_data.originalPrincipal.id		keyword
okta.debug_context.debug_data.originalPrincipal.type		keyword
okta.debug_context.debug_data.promptingPolicyTypes		keyword
okta.debug_context.debug_data.request_id	请求的标识符。	keyword
okta.debug_context.debug_data.request_uri	请求 URI。	keyword
okta.debug_context.debug_data.requested_scopes		keyword
okta.debug_context.debug_data.risk		keyword
okta.debug_context.debug_data.risk.level		keyword
okta.debug_context.debug_data.risk.reasons		keyword
okta.debug_context.debug_data.risk_behaviors	导致风险评估的一组行为。	keyword
okta.debug_context.debug_data.risk_level	分配给登录尝试的风险级别。	keyword
okta.debug_context.debug_data.risk_object		keyword
okta.debug_context.debug_data.risk_reasons	风险的原因。	keyword
okta.debug_context.debug_data.threat_suspected	疑似存在威胁。	keyword
okta.debug_context.debug_data.tunnels		object
okta.debug_context.debug_data.url	URL。	keyword
okta.device.device_integrator		flattened
okta.device.disk_encryption_type	设备配置文件的磁盘加密类型的值。可以是 “NONE”、“FULL”、“USER”、“ALL_INTERNAL_VOLUMES” 或 “SYSTEM_VOLUME” 之一。	keyword
okta.device.id	设备的标识符。	keyword
okta.device.managed	设备是否被管理。	boolean
okta.device.name	设备的名称。	keyword
okta.device.os_platform	设备的操作系统。	keyword
okta.device.os_version	设备的操作系统版本。	keyword
okta.device.registered	设备是否已注册。	boolean
okta.device.screen_lock_type	锁定设备屏幕的机制。可以是 “NONE”、“PASSCODE” 或 “BIOMETRIC” 之一。	keyword
okta.device.secure_hardware_present	设备上是否存在安全硬件。这是检查芯片是否存在：可信平台模块 (TPM) 或安全飞地。它不标记安全硬件上是否存在令牌。	boolean
okta.display_message	LogEvent 的显示消息。	keyword
okta.event_type	LogEvent 的类型。	keyword
okta.outcome.reason	结果的原因。	keyword
okta.outcome.result	结果的结果。必须是以下之一：SUCCESS、FAILURE、SKIPPED、ALLOW、DENY、CHALLENGE、UNKNOWN。	keyword
okta.request.ip_chain		flattened
okta.security_context.as.number	AS 编号。	integer
okta.security_context.as.organization.name	组织名称。	keyword
okta.security_context.domain	域名。	keyword
okta.security_context.is_proxy	是否为代理。	boolean
okta.security_context.isp	互联网服务提供商。	keyword
okta.severity	LogEvent 的严重程度。必须是 DEBUG、INFO、WARN 或 ERROR 之一。	keyword
okta.target.alternate_id	目标的备用 ID。	keyword
okta.target.changeDetails.from.*		object
okta.target.changeDetails.to.*		object
okta.target.detailEntry.*		object
okta.target.display_name	目标的显示名称。	keyword
okta.target.id	目标的 ID。	keyword
okta.target.type	目标的类型。	keyword
okta.transaction.detail.request_api_token_id	请求中使用的 API 令牌的 ID。	keyword
okta.transaction.id	事务的标识符。	keyword
okta.transaction.type	事务的类型。必须是 “WEB” 或 “JOB” 之一。	keyword
okta.uuid	Okta LogEvent 的唯一标识符。	keyword
okta.version	LogEvent 的版本。	keyword

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
3.3.0	增强 (查看拉取请求) 将“preserve_original_event”标签添加到 `event.kind` 设置为“pipeline_error”的文档中。	8.15.0 或更高版本
3.2.0	增强 (查看拉取请求) 解析 `okta.debug_context.debug_data.tunnels` 中的 JSON 字符串。	8.15.0 或更高版本
3.1.0	增强 (查看拉取请求) 添加对删除请求跟踪文件的支持。	8.15.0 或更高版本
3.0.0	增强 (查看拉取请求) 使 `okta.target` 使用动态对象而不是扁平化的对象。	8.15.0 或更高版本
2.13.0	增强 (查看拉取请求) 包含来自调试数据的 `grantedScopes`、`grantType`、`clientSecret` 和 `requestedScopes` 字段。	8.15.0 或更高版本
2.12.2	Bug 修复 (查看拉取请求) 在引用提取管道中的变量时使用三括号 Mustache 模板。	8.15.0 或更高版本
2.12.1	Bug 修复 (查看拉取请求) 在引用提取管道中的变量时使用三括号 Mustache 模板。	8.15.0 或更高版本
2.12.0	增强 (查看拉取请求) 允许用户配置 debug_data 扁平化的使用。	8.15.0 或更高版本
2.11.0	增强 (查看拉取请求) 修改了字段定义，以删除 ecs@mappings 组件模板中多余的 ECS 字段。	8.13.0 或更高版本
2.10.0	增强 (查看拉取请求) 支持 OIN 服务应用程序身份验证。	8.13.0 或更高版本
2.9.0	增强 (查看拉取请求) 允许将私钥作为 PEM 块提供。	8.13.0 或更高版本
2.8.0	增强 (查看拉取请求) 将敏感值设置为 secret。	8.12.0 或更高版本
2.7.1	增强 (查看拉取请求) 更改了所有者	8.10.1 或更高版本
2.7.0	增强 (查看拉取请求) 添加 okta.transaction.detail.request_api_token_id 字段。	8.10.1 或更高版本
2.6.0	增强 (查看拉取请求) 将请求跟踪器日志计数限制为 5。	8.10.1 或更高版本
2.5.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	8.10.1 或更高版本
2.4.0	增强 (查看拉取请求) 改进 event.original 检查，以避免在设置时出现错误。	8.10.1 或更高版本
2.3.1-next	Bug 修复 (查看拉取请求) 修复组字段的映射	—
2.3.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和已保存的搜索都带有“安全解决方案”标签，并在安全解决方案 UI 中显示。	8.10.1 或更高版本
2.2.0	增强 (查看拉取请求) 将包 format_version 更新为 3.0.0。	8.10.1 或更高版本
2.1.0	增强 (查看拉取请求) 将包更新为 ECS 8.10.0，对齐 ECS 分类字段，并根据安全修复将堆栈版本更新为 ^8.10.1。	8.10.1 或更高版本
2.0.0	增强 (查看拉取请求) 添加了 Okta Oauth2 支持，相应地重构了 UI，并将堆栈版本更新为 ^8.10.0。	8.10.0 或更高版本
1.28.0	增强 (查看拉取请求) 保留 `okta.debug_context.debug_data.dt_hash` 字段。	8.7.1 或更高版本
1.27.0	增强 (查看拉取请求) 更新包规范 2.9.0。	8.7.1 或更高版本
1.26.0	增强 (查看拉取请求) 将包更新为 ECS 8.9.0。	8.7.1 或更高版本
1.25.0	增强 (查看拉取请求) 记录持续时间单位。	8.7.1 或更高版本
1.24.0	增强 (查看拉取请求) 将可视化转换为镜头。	8.7.1 或更高版本
1.23.0	增强 (查看拉取请求) 记录有效的持续时间单位。	8.7.1 或更高版本
1.22.1	Bug 修复 (查看拉取请求) 修复在修改 okta.target[].detailEntry 时发生的并发修改异常。	8.7.1 或更高版本
1.22.0	增强 (查看拉取请求) 将包更新为 ECS 8.8.0。	8.7.1 或更高版本
1.21.0	增强 (查看拉取请求) 添加对 okta.device 字段组的支持。增强 (查看拉取请求) 保留 `okta.target.detailEntry.methodTypeUsed` 和 `okta.target.detailEntry.methodUsedVerifiedProperties`。	8.7.1 或更高版本
1.20.0	增强 (查看拉取请求) 添加一个新标志以启用请求跟踪	8.7.1 或更高版本
1.19.1	增强 (查看拉取请求) 删除多余的重命名处理器。	8.6.0 或更高版本
1.19.0	增强 (查看拉取请求) 保留目标信息。	8.6.0 或更高版本
1.18.0	增强 (查看拉取请求) 将包更新为 ECS 8.7.0。	8.6.0 或更高版本
1.17.0	增强 (查看拉取请求) 从电子邮件中提取用户名	8.6.0 或更高版本
1.16.1	增强 (查看拉取请求) 添加了类别和/或子类别。	8.6.0 或更高版本
1.16.0	增强 (查看拉取请求) 允许配置 HTTP keep-alive 以允许连接重用。	8.6.0 或更高版本
1.15.1	Bug 修复 (查看拉取请求) 修复文档中的错别字。	8.1.0 或更高版本
1.15.0	增强 (查看拉取请求) 使 debug_data 风险因素和行为对搜索可见。	8.1.0 或更高版本
1.14.0	增强 (查看拉取请求) 将包更新为 ECS 8.6.0。	8.1.0 或更高版本
1.13.0	增强 (查看拉取请求) 使 debug_data 风险原因对搜索可见。	8.1.0 或更高版本
1.12.1	Bug 修复 (查看拉取请求) 更加努力地从 debug_data 中提取风险信息。	8.1.0 或更高版本
1.12.0	增强 (查看拉取请求) 更稳健地处理已设置的 event.original。	8.1.0 或更高版本
1.11.2	增强 (查看拉取请求) 将仪表板中的可视化迁移为按值，以最大限度地减少保存的对象混乱并减少加载时间	8.1.0 或更高版本
1.11.1	Bug 修复 (查看拉取请求) 删除重复字段。	7.14.0 或更高版本 8.0.0 或更高版本
1.11.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.5.0。	7.14.0 或更高版本 8.0.0 或更高版本
1.10.3	Bug 修复 (查看拉取请求) 将 url 配置选项标记为必填字段	7.14.0 或更高版本 8.0.0 或更高版本
1.10.2	增强 (查看拉取请求) 使用 ECS geo.location 定义。	7.14.0 或更高版本 8.0.0 或更高版本
1.10.1	Bug 修复 (查看拉取请求) 将 api_key 配置选项标记为必填字段	7.14.0 或更高版本 8.0.0 或更高版本
1.10.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.4.0	7.14.0 或更高版本 8.0.0 或更高版本
1.9.2	Bug 修复 (查看拉取请求) 修复代理 URL 文档渲染。	7.14.0 或更高版本 8.0.0 或更高版本
1.9.1	增强 (查看拉取请求) 更新软件包名称和描述，使其与标准措辞一致	7.14.0 或更高版本 8.0.0 或更高版本
1.9.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.3.0。	7.14.0 或更高版本 8.0.0 或更高版本
1.8.0	增强 (查看拉取请求) 添加 `okta.debug_context.debug_data.risk_level` 字段增强 (查看拉取请求) 添加扁平化的 `okta.debug_context.debug_data.flattened.log_only_security_data.` 字段 Bug 修复* (查看拉取请求) 修复 `client.as.number` 的映射类型	7.14.0 或更高版本 8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 添加扁平化的 `okta.request.ip_chain.*` 字段	7.14.0 或更高版本 8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 更新至 ECS 8.2	7.14.0 或更高版本 8.0.0 或更高版本
1.5.2	Bug 修复 (查看拉取请求) 处理 client.ipAddress 中的无效值	7.14.0 或更高版本 8.0.0 或更高版本
1.5.1	增强 (查看拉取请求) 添加多字段文档	7.14.0 或更高版本 8.0.0 或更高版本
1.5.0	增强 (查看拉取请求) 增加 API 响应中结果数量的限制。	7.14.0 或更高版本 8.0.0 或更高版本
1.4.1	增强 (查看拉取请求) 为 event.created 添加缺失的字段映射。	—
1.4.0	增强 (查看拉取请求) 更新至 ECS 8.0	7.14.0 或更高版本 8.0.0 或更高版本
1.3.2	Bug 修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	7.14.0 或更高版本 8.0.0 或更高版本
1.3.1	Bug 修复 (查看拉取请求) 将测试公网 IP 更改为支持的子集	—
1.3.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	7.14.0 或更高版本 8.0.0 或更高版本
1.2.3	增强 (查看拉取请求) 与准则统一	7.14.0 或更高版本
1.2.2	增强 (查看拉取请求) 更新标题和描述。	—
1.2.1	Bug 修复 (查看拉取请求) 修复检查 forwarded 标签的逻辑	—
1.2.0	增强 (查看拉取请求) 更新至 ECS 1.12.0	7.14.0 或更高版本
1.1.3	增强 (查看拉取请求) 添加代理配置	—
1.1.2	增强 (查看拉取请求) 转换为生成的 ECS 字段	—
1.1.1	增强 (查看拉取请求) 更新至 ECS 1.11.0	—
1.1.0	增强 (查看拉取请求) 更新集成描述	7.14.0 或更高版本
1.0.1	Bug 修复 (查看拉取请求) 在清单中添加缺失的 `initial_interval` 选项	—
1.0.0	增强 (查看拉取请求) 使 GA 增强 (查看拉取请求) 设置 “event.module” 和 “event.dataset”	7.14.0 或更高版本
0.6.0	增强 (查看拉取请求) 更新至 ECS 1.10.0 并添加 event.original 选项	—
0.5.2	增强 (查看拉取请求) 添加 httpjson 系统测试并删除日志输入。	—
0.5.1	增强 (查看拉取请求) 使 event.original 可选	—
0.5.0	增强 (查看拉取请求) 将 okta.target 更改为扁平化类型	—
0.4.2	Bug 修复 (查看拉取请求) 在分页中添加 fail_on_template_error	—
0.4.1	增强 (查看拉取请求) 更新至 ECS 1.9.0	—
0.4.0	增强 (查看拉取请求) 将边缘处理移动到摄取管道	—
0.3.1	Bug 修复 (查看拉取请求) 更改 kibana.version 约束，使其更保守。	—
0.1.0	增强 (查看拉取请求) 初始版本	—

« Okta Okta 实体分析 »