Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log OneLogin by One Identity

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log OneLogin by One Identity ke Google Security Operations menggunakan Google Cloud Storage V2.

OneLogin by One Identity adalah platform pengelolaan akses dan identitas (IAM) berbasis cloud yang menyediakan single sign-on (SSO), autentikasi multi-faktor (MFA), dan penyediaan pengguna untuk aplikasi perusahaan. OneLogin Events API menyediakan akses terprogram ke log peristiwa, termasuk autentikasi pengguna, penyediaan, perubahan kebijakan, dan tindakan administratif.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke portal Administrasi OneLogin dengan peran Admin Super atau yang setara
Kredensial API (Client ID dan Client Secret) yang dikonfigurasi di portal Administrasi OneLogin

Membuat bucket Google Cloud Storage

Buka Konsol Google Cloud.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `onelogin-sso-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Location	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Create.

Mengumpulkan kredensial API OneLogin by One Identity

Membuat kredensial API

Login ke portal Administrasi OneLogin.
Buka Developers > API Credentials.
Klik New Credential.
Masukkan nama untuk kredensial (misalnya, Google SecOps Integration).
Pilih Baca Semua sebagai cakupan izin.
Klik Simpan.
Salin dan simpan detail berikut di lokasi yang aman:
- Client ID: ID klien API yang ditampilkan di halaman kredensial
- Rahasia Klien: Rahasia klien API yang ditampilkan di halaman kredensial
Catatan: Secret klien hanya ditampilkan satu kali setelah pembuatan. Simpan dengan aman. Jika hilang, Anda harus membuat ulang kredensial.

Menentukan region OneLogin API Anda

URL dasar OneLogin API bergantung pada wilayah pusat data Anda:

Wilayah	URL Dasar API
AS	`https://api.us.onelogin.com`
Uni Eropa	`https://api.eu.onelogin.com`

Verifikasi izin

Untuk memverifikasi bahwa kredensial API memiliki izin yang diperlukan:

Login ke portal Administrasi OneLogin.
Buka Developers > API Credentials.
Klik nama kredensial (misalnya, Google SecOps Integration).
Pastikan cakupan Baca Semua dipilih. Jika tidak, perbarui cakupan, lalu klik Simpan.

Menguji akses API

Uji kredensial Anda sebelum melanjutkan integrasi:

# Replace with your actual credentials
ONELOGIN_CLIENT_ID="your-client-id"
ONELOGIN_CLIENT_SECRET="your-client-secret"
ONELOGIN_API_BASE="[https://api.us.onelogin.com](https://api.us.onelogin.com)"

# Get access token
TOKEN=$(curl -s -X POST "${ONELOGIN_API_BASE}/auth/oauth2/v2/token" \
  -H "Content-Type: application/json" \
  -d "{\"grant_type\": \"client_credentials\", \"client_id\": \"${ONELOGIN_CLIENT_ID}\", \"client_secret\": \"${ONELOGIN_CLIENT_SECRET}\"}" \
  | jq -r '.access_token')

# Test API access - list recent events
curl -s -X GET "${ONELOGIN_API_BASE}/api/2/events?limit=1" \
  -H "Authorization: Bearer ${TOKEN}"

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan onelogin-sso-logs-collector-sa
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect OneLogin by One Identity logs
Klik Create and Continue.
Di bagian Grant this service account access to project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Done.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (misalnya, onelogin-sso-logs).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, onelogin-sso-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com)
- Tetapkan peran: Pilih Storage Object Admin
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di Konsol GCP, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan onelogin-sso-logs-trigger
- Biarkan setelan lainnya menggunakan setelan default
Klik Create.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari OneLogin Events API dan menuliskannya ke GCS.

Di Konsol GCP, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan onelogin-sso-logs-collector

Region Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik onelogin-sso-logs-trigger.
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub akan otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan onelogin-sso-logs-collector-sa.

Setelan	Nilai
Nama layanan	`onelogin-sso-logs-collector`
Region	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Buka tab Containers:

Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh	Deskripsi
`GCS_BUCKET`	`onelogin-sso-logs`	Nama bucket GCS
`GCS_PREFIX`	`onelogin`	Awalan untuk file log
`STATE_KEY`	`onelogin/state.json`	Jalur file status
`ONELOGIN_CLIENT_ID`	`your-client-id`	ID klien API OneLogin
`ONELOGIN_CLIENT_SECRET`	`your-client-secret`	Rahasia klien API OneLogin
`ONELOGIN_API_BASE`	`https://api.us.onelogin.com`	URL dasar OneLogin API
`MAX_RECORDS`	`5000`	Jumlah maksimum data per proses
`PAGE_SIZE`	`250`	Jumlah data per halaman (maks. 250)
`LOOKBACK_HOURS`	`24`	Periode lihat balik awal

Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit)
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi
  - CPU: Pilih 1
Di bagian Revision scaling:
- Minimum number of instances: Masukkan 0
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban)
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

Masukkan main di kolom Entry point.

Di editor kode inline, buat dua file:

main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
  timeout=urllib3.Timeout(connect=5.0, read=30.0),
  retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'onelogin')
STATE_KEY = os.environ.get('STATE_KEY', 'onelogin/state.json')
ONELOGIN_CLIENT_ID = os.environ.get('ONELOGIN_CLIENT_ID')
ONELOGIN_CLIENT_SECRET = os.environ.get('ONELOGIN_CLIENT_SECRET')
ONELOGIN_API_BASE = os.environ.get('ONELOGIN_API_BASE')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '250'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

def parse_datetime(value: str) -> datetime:
  """Parse ISO datetime string to datetime object."""
  if value.endswith("Z"):
    value = value[:-1] + "+00:00"
  return datetime.fromisoformat(value)

def get_access_token():
  """
  Obtain OAuth2 access token using client credentials grant.
  OneLogin uses /auth/oauth2/v2/token endpoint.
  """
  base_url = ONELOGIN_API_BASE.rstrip('/')
  token_url = f"{base_url}/auth/oauth2/v2/token"

  headers = {
    'Content-Type': 'application/json',
    'Accept': 'application/json'
  }

  body = json.dumps({
    'grant_type': 'client_credentials',
    'client_id': ONELOGIN_CLIENT_ID,
    'client_secret': ONELOGIN_CLIENT_SECRET
  })

  backoff = 1.0
  for attempt in range(3):
    response = http.request('POST', token_url, body=body, headers=headers)

    if response.status == 429:
      retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
      print(f"Rate limited (429) on token request. Retrying after {retry_after}s...")
      time.sleep(retry_after)
      backoff = min(backoff * 2, 30.0)
      continue

    if response.status != 200:
      raise RuntimeError(f"Failed to get access token: {response.status} - {response.data.decode('utf-8')}")

    data = json.loads(response.data.decode('utf-8'))
    return data['access_token']

  raise RuntimeError("Failed to get access token after 3 retries")

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch OneLogin
  event logs and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, ONELOGIN_CLIENT_ID, ONELOGIN_CLIENT_SECRET, ONELOGIN_API_BASE]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)

    # Load state
    state = load_state(bucket, STATE_KEY)

    # Determine time window
    now = datetime.now(timezone.utc)
    last_time = None

    if isinstance(state, dict) and state.get("last_event_time"):
      try:
        last_time = parse_datetime(state["last_event_time"])
        # Overlap by 2 minutes to catch any delayed events
        last_time = last_time - timedelta(minutes=2)
      except Exception as e:
        print(f"Warning: Could not parse last_event_time: {e}")

    if last_time is None:
      last_time = now - timedelta(hours=LOOKBACK_HOURS)

    print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

    # Get access token
    token = get_access_token()

    # Fetch events
    records, newest_event_time = fetch_logs(
      token=token,
      start_time=last_time,
      end_time=now,
      page_size=PAGE_SIZE,
      max_records=MAX_RECORDS,
    )

    if not records:
      print("No new log records found.")
      save_state(bucket, STATE_KEY, now.isoformat())
      return

    # Write to GCS as NDJSON
    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
    blob = bucket.blob(object_key)

    ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
    blob.upload_from_string(ndjson, content_type='application/x-ndjson')

    print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

    # Update state with newest event time
    if newest_event_time:
      save_state(bucket, STATE_KEY, newest_event_time)
    else:
      save_state(bucket, STATE_KEY, now.isoformat())

    print(f"Successfully processed {len(records)} records")

  except Exception as e:
    print(f'Error processing logs: {str(e)}')
    raise

def load_state(bucket, key):
  """Load state from GCS."""
  try:
    blob = bucket.blob(key)
    if blob.exists():
      state_data = blob.download_as_text()
      return json.loads(state_data)
  except Exception as e:
    print(f"Warning: Could not load state: {e}")

  return {}

def save_state(bucket, key, last_event_time_iso: str):
  """Save the last event timestamp to GCS state file."""
  try:
    state = {'last_event_time': last_event_time_iso}
    blob = bucket.blob(key)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_event_time={last_event_time_iso}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_logs(token: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
  """
  Fetch event logs from the OneLogin Events API v2
  with cursor-based pagination and rate limiting.

  Args:
    token: OAuth2 access token
    start_time: Start time for log query
    end_time: End time for log query
    page_size: Number of records per page (max 250)
    max_records: Maximum total records to fetch

  Returns:
    Tuple of (records list, newest_event_time ISO string)
  """
  base_url = ONELOGIN_API_BASE.rstrip('/')
  endpoint = f"{base_url}/api/2/events"

  headers = {
    'Authorization': f'Bearer {token}',
    'Accept': 'application/json',
    'User-Agent': 'GoogleSecOps-OneLoginSSOCollector/1.0'
  }

  records = []
  newest_time = None
  page_num = 0
  backoff = 1.0

  start_iso = start_time.strftime('%Y-%m-%dT%H:%M:%SZ')
  end_iso = end_time.strftime('%Y-%m-%dT%H:%M:%SZ')

  cursor = None

  while True:
    page_num += 1

    if len(records) >= max_records:
      print(f"Reached max_records limit ({max_records})")
      break

    params = [
      f"limit={min(page_size, max_records - len(records))}",
      f"since={start_iso}",
      f"until={end_iso}"
    ]
    if cursor:
      params.append(f"cursor={cursor}")

    url = f"{endpoint}?{'&'.join(params)}"

    try:
      response = http.request('GET', url, headers=headers)

      # Handle rate limiting with exponential backoff
      if response.status == 429:
        retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
        print(f"Rate limited (429). Retrying after {retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status != 200:
        print(f"HTTP Error: {response.status}")
        response_text = response.data.decode('utf-8')
        print(f"Response body: {response_text}")
        return records, newest_time

      data = json.loads(response.data.decode('utf-8'))

      page_results = data.get('data', [])

      if not page_results:
        print(f"No more results (empty page)")
        break

      print(f"Page {page_num}: Retrieved {len(page_results)} events")
      records.extend(page_results)

      # Track newest event time
      for event in page_results:
        try:
          event_time = event.get('created_at')
          if event_time:
            if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
              newest_time = event_time
        except Exception as e:
          print(f"Warning: Could not parse event time: {e}")

      # Check for next page using cursor from pagination
      pagination = data.get('pagination', {})
      cursor = pagination.get('after_cursor')
      if not cursor:
        print("No more pages (no next cursor)")
        break

    except Exception as e:
      print(f"Error fetching logs: {e}")
      return records, newest_time

  print(f"Retrieved {len(records)} total records from {page_num} pages")
  return records, newest_time

requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Catatan: Konfigurasi pemicu Pub/Sub akan otomatis membuat langganan dan izin yang diperlukan.

Buat tugas Cloud Scheduler

Cloud Scheduler akan memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`onelogin-sso-logs-collector-hourly`
Region	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona Waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik `onelogin-sso-logs-trigger`
Isi pesan	`{}` (objek JSON kosong)

Klik Create.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji integrasi

Di konsol Cloud Scheduler, temukan tugas Anda.
Klik Force run untuk memicu tugas secara manual.
Tunggu beberapa detik.
Buka Cloud Run > Services.
Klik onelogin-sso-logs-collector.
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari:

Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://onelogin-sso-logs/onelogin/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (onelogin-sso-logs).
Buka folder onelogin/.
Pastikan file .ndjson baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

HTTP 401: Periksa kredensial API di variabel lingkungan
HTTP 403: Pastikan kredensial API memiliki cakupan Read All di portal Administrasi OneLogin
HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan telah ditetapkan

Mengonfigurasi feed di Google SecOps untuk menyerap log OneLogin by One Identity

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, OneLogin SSO Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih OneLogin sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://onelogin-sso-logs/onelogin/
```
  - Ganti:
    - onelogin-sso-logs: Nama bucket GCS Anda.
    - onelogin: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
- Namespace aset: Namespace aset
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps
- Tetapkan peran: Pilih Storage Object Viewer
Klik Simpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
id	metadata.product_log_id	Dipetakan secara langsung
created_at	metadata.event_timestamp	Dikonversi ke stempel waktu
account_id	principal.namespace	Dipetakan langsung, dikonversi ke string
actor_user_id	principal.user.userid	Dipetakan langsung, dikonversi ke string
actor_user_name	principal.user.user_display_name	Dipetakan secara langsung
user_id	target.user.userid	Dipetakan langsung, dikonversi ke string
user_name	target.user.user_display_name	Dipetakan secara langsung
event_type_id	metadata.product_event_type	Dipetakan langsung, dikonversi ke string
ipaddr	principal.ip	Dipetakan secara langsung
catatan	metadata.description	Dipetakan secara langsung
app_id	target.application	Dipetakan langsung, dikonversi ke string
app_name	target.resource.name	Dipetakan secara langsung
group_id	target.group.product_object_id	Dipetakan langsung, dikonversi ke string
group_name	target.group.group_display_name	Dipetakan secara langsung
directory_id	additional.fields.value.string_value (kunci: directory_id)	Dipetakan secara langsung
role_id	principal.user.attribute.roles.id	Dipetakan langsung, dikonversi ke string
role_name	principal.user.attribute.roles.name	Dipetakan secara langsung
otp_device_id	additional.fields.value.string_value (kunci: otp_device_id)	Dipetakan secara langsung
otp_device_name	additional.fields.value.string_value (kunci: otp_device_name)	Dipetakan secara langsung
policy_id	security_result.rule_id	Dipetakan langsung, dikonversi ke string
policy_name	security_result.rule_name	Dipetakan secara langsung
client_id	additional.fields.value.string_value (kunci: client_id)	Dipetakan secara langsung
browser_fingerprint	additional.fields.value.string_value (kunci: browser_fingerprint)	Dipetakan secara langsung
custom_message	security_result.description	Dipetakan secara langsung
error_description	security_result.description	Dipetakan secara langsung jika custom_message kosong
	metadata.vendor_name	Disetel ke "OneLogin"
	metadata.product_name	Setel ke "SSO OneLogin"
	metadata.log_type	Tetapkan ke "ONELOGIN_SSO"
	metadata.event_type	Ditentukan berdasarkan event_type_id: USER_LOGIN untuk peristiwa autentikasi, USER_RESOURCE_ACCESS untuk peristiwa akses aplikasi, USER_CHANGE_PERMISSIONS untuk perubahan peran/izin, GENERIC_EVENT untuk peristiwa lainnya

Log Perubahan

Melihat Log Perubahan untuk parser ini

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.