我应该如何在 PingFederate 中为 Splunk 设置记录器?

How should I set up logger for Splunk in PingFederate?

我希望设置 PingFederate 以登录到 Splunk。

Ping 在这里很好地描述了它 https://ping.force.com/Support/Configuring-PingFederate-with-Splunk 但是在我的 PF 实例中找不到要取消注释的引用部分——它可能在我之前作为清理的一部分被删除了。

log4j2.xml 的内容应该是什么?

我正在使用 PingFederate 8.4.1。

此处提供了有关配置 PingFederate log4j2.xml 的一些其他信息:https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=qst1564002981075.html

如果您没有在 log4j2.xml 中定义 SecurityAudit2Splunk appender,它应该类似于:

   <RollingFile name="SecurityAudit2Splunk" fileName="${sys:pf.log.dir}/splunk-audit.log"
        filePattern="${sys:pf.log.dir}/splunk-audit.%d{yyyy-MM-dd}.log"
        ignoreExceptions="false">
        <PatternLayout>
            <pattern>%d trackingid=&quot;%X{trackingid}&quot; event=%X{event} subject=&quot;%X{subject}&quot; ip=%X{ip} app=%X{app} connectionid=%X{connectionid} protocol=%X{protocol} pfhost=%X{host} role=%X{role} status=%X{status} adapterid=%X{adapterid} description=&quot;%X{description}&quot; responsetime=%X{responsetime} %n</pattern>
        </PatternLayout>
        <Policies>
            <TimeBasedTriggeringPolicy />
        </Policies>
    </RollingFile>

如果您想查看原始 log4j2.xml 配置文件,您可以随时再次下载 PingFederate 进行比较:https://www.pingidentity.com/en/resources/downloads/pingfederate.html

另请注意,有一个适用于 Splunk 的 PingFederate 应用程序可以作为报告的有用起点:https://splunkbase.splunk.com/app/976/