Log Streamingとは

Log Streaming機能を使用すると、Oktaのログを外部サービスにリアルタイムで簡単に連携することができます。
外部サービスに連携することで、より適切な監視や、ログの長期間に渡る保存などを行うことができます。
Oktaだけでは直近3カ月のログのみを保存するため、それ以前のログを確認することができません。
また、Oktaを含む様々なアプリケーションのログを同じ外部サービスで一元的に監視することで、障害発生時にどのアプリケーションでの問題なのか特定を早くするなど、様々なメリットが考えられます。

Log Streaming機能を使用しなくても、外部サービスにOktaのログを連携することはできますが、その場合は外部サービスからポーリングを行い、Oktaのログを外部サービスのサーバに送信して監視します。そのため、タイムラグが生じやすくなってしまうのです。

Log Streaming機能を使用すると監視のたタイムラグが発生しにくくなるメリットがあることがわかりましたね！
現在このLog Straming機能は、AWS EventBridge及びSplunk Cloudと連携することができます。
今回はSplunkCloudとの連携について詳しくご紹介します！

Log Streamingの SplunkCloudとの連携手順

Log Streaming機能と外部サービスとの連携を行うには、Okta側及び外部サービス側での設定が必要です。
実際にSplunk Cloudとの連携手順をご紹介します。

• Splunk Cloud側でトークンを発行する

設定＞データ入力をクリックし、 HTTPイベントコレクターから新規トークンを発行します。

トークンを発行後、トークン値をコピーします。（コピーしたトークン値は、Okta側の設定を行う際に使用します。）

• Okta側で連携の設定を行う

Reports>Log Streamingへ移動し、 Add Log Streamingをクリック

Splunk Cloudを選択しNextをクリックします。

Splunk Cloud のドメインやSplunk Cloud側でコピーしたトークン値を設定します。

Log Streaming機能を使ってみた

連携した Splunk Cloud について、実際に Log Streaming機能を使用した時の様子をご紹介します。

まずは、 Splunk CloudのSerch ＆ Reportingをクリックします。

サーチ項目に移動し、サーチ文（検索時に使用するクエリ）を入力し、眼鏡マークをクリックします。

例）
index=*
host="macnica○○.oktapreview.com"

サーチを行うと、下図のように、 Okta側のログが表示されます。

まとめ

今回はOktaの Log Streaming機能をご紹介し、 Splunk Cloudと実際に連携を行いましたが、いかがでしたでしょうか。 Log Streaming機能によりログ監視のタイムラグが発生しにくくなり、ますますITシステムの管理が簡単になりますね！

Oktaに対して興味をお持ちになった方は、ぜひマクニカまでお問い合わせください。