はじめに

Auth0では、管理者操作やユーザによる認証プロセス等をログとして記録しています。今回は、そのログを外部へ出力する方法を記載します。

本ページでは、Splunk Cloudをログ出力先とした、Log Streams機能を利用したAuth0ログ保管について、必要となる設定とSplunk Cloud側でのログ検索及び可視化例をご紹介します。

前提

本ページに記載する機能及び設定に関する内容は、2022年11月現在の情報となります。
また、Splunk Cloudは、以下URLより発行可能なトライアル環境(Ver.9.0.2209.2)を利用します。実際にご利用のSplunk Cloudにて設定を行う際には、本ページの手順に加えて、通信元となるAuth0側のIPアドレス許可等の追加設定が必要となる場合があります。
https://www.splunk.com/ja_jp/download/splunk-cloud.html

設定概要

Splunk CloudへのAuth0ログ保管にあたり、Auth0・Splunk Cloudそれぞれで必要となる設定は、以下の通りです。

ここから、具体的な設定方法と動作確認例をご紹介します。

設定例

1.　Auth0設定（その１）

• Auth0管理画面において、[Monitoring] > [Streams]をクリック

• [Create Log Stream]をクリック

• 一覧から[Splunk]をクリック

• 任意の設定名を追加し、[Create]をクリック

• Tutorialタブに記載された設定手順に従い、Splunk Cloud側の設定を実施(詳細は２. Splunk Cloud設定にて説明)

2.　Splunk Cloud設定

• Splunk Cloud画面において、[設定] > [データ入力]をクリック

• HTTPイベントコレクターの[新規作成]をクリック

• 設定名、Source名等を指定

• ソースタイプ名、保管先インデックス等を指定
  ※適用するソースタイプ, 保管先インデックスは事前に要設定

• 設定完了後、表示されたトークン値をコピー(３.Auth0設定（その２）にて利用)

3.　Auth0設定（その２）

• Auth0設定(その１)で作成したLog Stream設定のSettingsタブにて必要な設定を入力後、[Save]をクリック

• Domain：出力先となるSplunk Cloudのドメイン名
• Token：Splunk Cloud側で発行されたトークン値
• Filter by Event Category：出力対象とするログのフィルタリング条件を既定の選択肢から選択
  ※選択肢は以下参照
  https://auth0.com/docs/customize/log-streams/event-filters
• Starting Cursor：指定しない場合は、本設定後に発生したログから出力開始

• 正常に設定が保存されたことを確認

• Healthタブにて、Stream StatusがActiveであること、及びエラーが発生していないことを確認

動作確認例

Splunk Cloudのサーチ画面にてAuth0ログを格納したインデックスを対象とした検索を実行し、検索結果が得られることを確認

補足：Auth0ログ向けSplunk App

SplunkでAuth0ログを可視化するために、Auth0から「Auth0 app for Splunk」が提供されています。詳細は下記をご参照ください。
https://splunkbase.splunk.com/app/5193

ご利用のSplunkへ当該Appをインストールしていただきますと、以下のダッシュボードをご利用いただけます。

まとめ

Auth0では、今回ご紹介したSplunk Cloud以外にも様々な製品やサービスに対してログ出力を行うことができます。既存でご利用のログ分析製品との連携やAuth0ログの活用にご興味がございましたら、是非弊社までお問い合わせください。

参考

• Auth0 Log Data Retention - Auth0 docs
• Auth0 Log Streams - Auth0 docs
• Export Log Events with Extensions - Auth0 docs
• Export Log Events with Rules - Auth0 docs
• Auth0 Retrieve Log Events Using the Management API - Auth0 docs
• Auth0 Log Event Type Codes - Auth0 docs