Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux PingOne Advanced Identity Cloud

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux PingOne Advanced Identity Cloud (anciennement ForgeRock Identity Cloud) dans Google Security Operations à l'aide de Google Cloud Storage V2.

PingOne Advanced Identity Cloud est une plate-forme IDaaS (Identity-as-a-Service) native du cloud qui fournit des fonctionnalités de gestion des identités, des accès et de la gouvernance des identités. Il permet aux organisations de gérer les identités des utilisateurs, d'appliquer des règles d'authentification, y compris l'authentification multifacteur, et de fournir une authentification unique dans les applications tout en assurant la conformité et la sécurité.

Pour en savoir plus, consultez la documentation ForgeRock Identity Cloud.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
Accès privilégié à la console d'administration PingOne Advanced Identity Cloud (administrateur du locataire)
Clé et code secret de l'API PingOne Advanced Identity Cloud Log avec accès aux points de terminaison de surveillance

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage > Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `forgerock-identity-cloud-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activez la gestion des versions des objets ou une règle de conservation.

Cliquez sur Créer.

Créer une clé API Log dans PingOne Advanced Identity Cloud

PingOne Advanced Identity Cloud utilise des clés de l'API Log pour authentifier les requêtes envoyées au point de terminaison /monitoring/logs. Elles sont distinctes des comptes de service, qui sont utilisés pour les opérations AM/IDM.

Créer la clé API

Connectez-vous à la console d'administration PingOne Advanced Identity Cloud à l'adresse https://<tenant-env-fqdn>/platform/admin (par exemple, https://openam-mycompany-ew2.id.forgerock.io/platform/admin).
Cliquez sur le menu du locataire (en haut à droite).
Cliquez sur Paramètres du locataire.
Cliquez sur l'onglet Paramètres généraux.
Cliquez sur Enregistrer les clés API.
Cliquez sur Nouvelle clé API de journaux.
Saisissez un nom descriptif (par exemple, chronicle-log-collector).
Cliquez sur Créer.
Copiez et enregistrez les valeurs suivantes de manière sécurisée :
- api_key_id : identifiant de la clé API.
- api_key_secret : secret de la clé API.
Remarque : Le code secret de la clé API n'est affiché qu'une seule fois lors de la création. Si vous la perdez, vous devrez créer une nouvelle clé API Log.

Obtenir le nom de domaine complet de votre environnement de locataire

Connectez-vous à la console d'administration PingOne Advanced Identity Cloud.
Cliquez sur le menu du locataire (en haut à droite).
Cliquez sur Paramètres du locataire.
Sous Détails, notez la valeur Nom du locataire.
- Format de production : openam-<base-name>-<data-region>.id.forgerock.io
- Format de développement : openam-<base-name>-<data-region>-dev.id.forgerock.io
- Format du bac à sable : openam-<sandbox-name>.forgeblocks.com

Tester l'accès à l'API

Testez vos identifiants avant de procéder à l'intégration :

# Replace with your actual tenant FQDN and credentials
TENANT_FQDN="openam-mycompany-ew2.id.forgerock.io"
API_KEY="<your-api-key-id>"
API_SECRET="<your-api-key-secret>"

# List available log sources
curl -v \
    -H "x-api-key: ${API_KEY}" \
    -H "x-api-secret: ${API_SECRET}" \
    "https://${TENANT_FQDN}/monitoring/logs/sources?_prettyPrint=true"

# Retrieve recent audit logs
curl -v \
    -H "x-api-key: ${API_KEY}" \
    -H "x-api-secret: ${API_SECRET}" \
    "https://${TENANT_FQDN}/monitoring/logs?source=am-authentication&_pageSize=5"

Une réponse réussie renvoie le code HTTP 200 avec un objet JSON contenant les entrées de journal. Si vous recevez une erreur HTTP 401, vérifiez la clé API et le code secret. Si vous recevez une erreur HTTP 429, cela signifie que vous avez dépassé la limite de débit de 60 requêtes par minute.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez forgerock-logs-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect PingOne Advanced Identity Cloud logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets de l'espace de stockage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état.
Demandeur Cloud Run : autorisez Pub/Sub à appeler la fonction.
Demandeur Cloud Functions : permet d'appeler des fonctions.

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, forgerock-identity-cloud-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, forgerock-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez forgerock-logs-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API de surveillance PingOne Advanced Identity Cloud et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`forgerock-logs-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, sélectionnez forgerock-logs-trigger.
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez forgerock-logs-collector-sa.

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur	Description
`GCS_BUCKET`	`forgerock-identity-cloud-logs`	Nom du bucket GCS
`GCS_PREFIX`	`forgerock-logs`	Préfixe des fichiers journaux
`STATE_KEY`	`forgerock-logs/state.json`	Chemin d'accès au fichier d'état
`TENANT_FQDN`	`openam-mycompany-ew2.id.forgerock.io`	Nom de domaine complet de l'environnement de locataire PingOne AIC
`API_KEY`	`<your-api-key-id>`	ID de la clé API PingOne AIC Log
`API_SECRET`	`<your-api-key-secret>`	Secret de la clé API PingOne AIC Log
`LOG_SOURCES`	`am-authentication,am-access,am-activity,am-config,idm-access,idm-activity,idm-authentication,idm-sync`	Sources de journaux séparées par une virgule
`MAX_RECORDS`	`5000`	Nombre maximal d'enregistrements par source et par exécution
`PAGE_SIZE`	`1000`	Enregistrements par page (1 000 maximum)
`LOOKBACK_HOURS`	`24`	Période d'analyse initiale

Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans le champ Point d'entrée.

Dans l'éditeur de code intégré, créez deux fichiers :

main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'forgerock-logs')
STATE_KEY = os.environ.get('STATE_KEY', 'forgerock-logs/state.json')
TENANT_FQDN = os.environ.get('TENANT_FQDN')
API_KEY = os.environ.get('API_KEY')
API_SECRET = os.environ.get('API_SECRET')
LOG_SOURCES = os.environ.get('LOG_SOURCES', 'am-authentication,am-access,am-activity,idm-access,idm-activity,idm-authentication')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch PingOne Advanced Identity Cloud
    logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, TENANT_FQDN, API_KEY, API_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(hours=LOOKBACK_HOURS)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs for configured sources
        all_records = []
        newest_event_time = None
        sources = [s.strip() for s in LOG_SOURCES.split(',') if s.strip()]

        for source in sources:
            records, source_newest_time = fetch_logs(
                tenant_fqdn=TENANT_FQDN,
                api_key=API_KEY,
                api_secret=API_SECRET,
                source=source,
                start_time=last_time,
                end_time=now,
                page_size=PAGE_SIZE,
                max_records=MAX_RECORDS,
            )
            all_records.extend(records)

            if source_newest_time:
                if newest_event_time is None or parse_datetime(source_newest_time) > parse_datetime(newest_event_time):
                    newest_event_time = source_newest_time

            print(f"Source '{source}': {len(records)} records")

        if not all_records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(all_records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(tenant_fqdn: str, api_key: str, api_secret: str, source: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
    """
    Fetch logs from PingOne Advanced Identity Cloud Monitoring API with pagination.

    Args:
        tenant_fqdn: Tenant environment FQDN
        api_key: Log API key ID
        api_secret: Log API key secret
        source: Log source (am-authentication, am-access, idm-access, etc.)
        start_time: Start time for log query
        end_time: End time for log query
        page_size: Number of records per page (max 1000)
        max_records: Maximum total records to fetch

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """
    endpoint = f"https://{tenant_fqdn}/monitoring/logs"

    headers = {
        'x-api-key': api_key,
        'x-api-secret': api_secret,
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-ForgeRockCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    begin_time = start_time.strftime('%Y-%m-%dT%H:%M:%SZ')
    end_time_str = end_time.strftime('%Y-%m-%dT%H:%M:%SZ')
    paged_results_cookie = None

    while True:
        page_num += 1

        if len(records) >= max_records:
            print(f"Reached max_records limit ({max_records})")
            break

        current_limit = min(page_size, max_records - len(records))
        url = f"{endpoint}?source={source}&beginTime={begin_time}&endTime={end_time_str}&_pageSize={current_limit}"

        if paged_results_cookie:
            url += f"&_pagedResultsCookie={paged_results_cookie}"

        try:
            response = http.request('GET', url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            page_results = data.get('result', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('timestamp')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for more results
            paged_results_cookie = data.get('pagedResultsCookie')
            if not paged_results_cookie or paged_results_cookie == "-1":
                print(f"Reached last page (no more results)")
                break

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time

requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`forgerock-logs-collector-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Thème	Sélectionner `forgerock-logs-trigger`
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de programmation

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Volume moyen
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 6 heures	`0 /6 * *`	Traitement par lot à faible volume
Tous les jours	`0 0 * * *`	Collecte de données historiques

Tester l'intégration

Dans la console Cloud Scheduler, recherchez votre job (forgerock-logs-collector-hourly).
Cliquez sur Exécuter de force pour déclencher le job manuellement.
Patientez quelques secondes.
Accédez à Cloud Run > Services.
Cliquez sur forgerock-logs-collector.
Cliquez sur l'onglet Journaux.

Vérifiez que la fonction s'est exécutée correctement. Par exemple :

Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Source 'am-authentication': X records
Source 'am-access': X records
Wrote X records to gs://forgerock-identity-cloud-logs/forgerock-logs/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (forgerock-identity-cloud-logs).
Accédez au dossier forgerock-logs/.
Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

HTTP 401 : vérifiez la clé API et le code secret de l'API Log dans les variables d'environnement.
HTTP 403 : vérifiez que la clé API n'a pas été révoquée dans PingOne Advanced Identity Cloud.
HTTP 429 : limitation du débit (60 requêtes par minute et par environnement). La fonction effectue automatiquement une nouvelle tentative avec un intervalle entre les tentatives.
Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, ForgeRock Identity Cloud Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez ForgeRock Identity Cloud comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documents ou exemples.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :
```
gs://forgerock-identity-cloud-logs/forgerock-logs/
```
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers une fois le transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
  Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets de l'espace de stockage au lieu de Lecteur des objets de l'espace de stockage. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (forgerock-identity-cloud-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuer des rôles : sélectionnez Lecteur d'objets Storage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`aav_label`	`additional.fields`	Fusionné
`detail_label`	`additional.fields`	Fusionné
`id_label`	`additional.fields`	Fusionné
`objectId_label`	`additional.fields`	Fusionné
`secure_label`	`additional.fields`	Fusionné
`source_label`	`additional.fields`	Fusionné
`topic_label`	`additional.fields`	Fusionné
`trackingId_list`	`additional.fields`	Fusionné
`transactionId_label`	`additional.fields`	Fusionné
`extensions`	`extensions`	Renommé/Mappé
`metadata`	`metadata`	Renommé/Mappé
`payload.eventName`	`metadata.product_event_type`	Mappé directement
`network`	`network`	Renommé/Mappé
`x-forwarded-proto`	`network.application_protocol`	Mappé directement
`payload.http.request.method`	`network.http.method`	Mappé directement
`value`	`network.http.response_code`	Renommé/Mappé
`user-agent`	`network.http.user_agent`	Mappé directement
`principal`	`principal`	Renommé/Mappé
`host`	`principal.asset.hostname`	Mappé directement
`payload.client.ip`	`principal.asset.ip`	Fusionné
`xip`	`principal.asset.ip`	Fusionné
`host`	`principal.hostname`	Mappé directement
`entry.info.ipAddress`	`principal.ip`	Fusionné
`payload.client.ip`	`principal.ip`	Fusionné
`xip`	`principal.ip`	Fusionné
`payload.client.port`	`principal.port`	Renommé/Mappé
`user_distinguished_name`	`principal.user.attribute.labels`	Fusionné
`payload.userId`	`principal.user.userid`	Mappé directement
`userId`	`principal.user.userid`	Mappé directement
`Security_Result`	`security_result`	Fusionné
`target`	`target`	Renommé/Mappé
`payload.applicationPrincipal.0`	`target.application`	Mappé directement
`app_label`	`target.resource.attribute.labels`	Fusionné
`realm_label`	`target.resource.attribute.labels`	Fusionné
`payload.component`	`target.resource.name`	Mappé directement
`payload.http.request.path`	`target.url`	Mappé directement
N/A	`additional.fields`	Constante : `topic_label`
N/A	`extensions.auth.type`	Constante : `AUTHTYPE_UNSPECIFIED`
N/A	`metadata.event_type`	Constante : `USER_LOGIN`
N/A	`principal.asset.ip`	Constante : `payload.client.ip`
N/A	`principal.ip`	Constante : `payload.client.ip`
N/A	`principal.user.attribute.labels`	Constante : `user_distinguished_name`
N/A	`security_result`	Constante : `Security_Result`
N/A	`target.resource.attribute.labels`	Constante : `app_label`

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.