Wie sollte ich Logger für Splunk in PingFederate einrichten?

Question

Ich möchte PingFederate einrichten, um sich an Splunk anmelden.

Ping beschreibt es schön hier https://ping.force.com/Support/Configuring-PingFederate-with-Splunk aber die referenzierten Abschnitte, die unkommentiert werden, können nicht in meiner PF-Instanz gefunden werden - es wurde möglicherweise vor meiner Zeit als Teil einer Bereinigung entfernt.

Was sollte der Inhalt der log4j2.xml sein?

Ich benutze PingFederate 8.4.1.

Answer 1

Einige zusätzliche Informationen über PingFederate der log4j2.xml Konfiguration finden Sie hier:

<RollingFile name="SecurityAudit2Splunk" fileName="${sys:pf.log.dir}/splunk-audit.log" 
     filePattern="${sys:pf.log.dir}/splunk-audit.%d{yyyy-MM-dd}.log" 
     ignoreExceptions="false"> 
     <PatternLayout> 
      <pattern>%d trackingid=&quot;%X{trackingid}&quot; event=%X{event} subject=&quot;%X{subject}&quot; ip=%X{ip} app=%X{app} connectionid=%X{connectionid} protocol=%X{protocol} pfhost=%X{host} role=%X{role} status=%X{status} adapterid=%X{adapterid} description=&quot;%X{description}&quot; responsetime=%X{responsetime} %n</pattern> 
     </PatternLayout> 
     <Policies> 
      <TimeBasedTriggeringPolicy /> 
     </Policies> 
    </RollingFile> 

: https://documentation.pingidentity.com/pingfederate/pf84/index.shtml#adminGuide/concept/writingAuditLogsForSplunk.html

Wenn Sie in Ihrem log4j2.xml definiert keine SecurityAudit2Splunk appender haben, ist es etwas aussehen sollte Wenn Sie eine originale log4j2.xml Konfigurationsdatei sehen möchten, können Sie PingFederate immer wieder zum Vergleichen herunterladen: https://www.pingidentity.com/en/resources/downloads/pingfederate.html