Comment dois-je configurer l'enregistreur pour Splunk dans PingFederate?

Question

Je souhaite configurer PingFederate pour se connecter à Splunk. Ping le décrit gentiment ici https://ping.force.com/Support/Configuring-PingFederate-with-Splunk mais les sections référencées à décommentir ne peuvent pas être trouvées dans mon instance de PF - elles ont pu avoir été enlevées avant mon temps dans le cadre d'un nettoyage.

Quel devrait être le contenu du fichier log4j2.xml? J'utilise PingFederate. 8.4.1.

Answer 1

Quelques informations supplémentaires sur la configuration de log4j2.xml de PingFederate est disponible ici: https://documentation.pingidentity.com/pingfederate/pf84/index.shtml#adminGuide/concept/writingAuditLogsForSplunk.html

Si vous ne disposez pas d'un appender SecurityAudit2Splunk défini dans votre log4j2.xml, il devrait ressembler à:

<RollingFile name="SecurityAudit2Splunk" fileName="${sys:pf.log.dir}/splunk-audit.log" 
     filePattern="${sys:pf.log.dir}/splunk-audit.%d{yyyy-MM-dd}.log" 
     ignoreExceptions="false"> 
     <PatternLayout> 
      <pattern>%d trackingid=&quot;%X{trackingid}&quot; event=%X{event} subject=&quot;%X{subject}&quot; ip=%X{ip} app=%X{app} connectionid=%X{connectionid} protocol=%X{protocol} pfhost=%X{host} role=%X{role} status=%X{status} adapterid=%X{adapterid} description=&quot;%X{description}&quot; responsetime=%X{responsetime} %n</pattern> 
     </PatternLayout> 
     <Policies> 
      <TimeBasedTriggeringPolicy /> 
     </Policies> 
    </RollingFile> 

Si vous voulez voir un fichier de configuration original de log4j2.xml, vous pouvez toujours télécharger à nouveau PingFederate pour comparer: https://www.pingidentity.com/en/resources/downloads/pingfederate.html