# Sumo Logic SIEM {% hint style="success" %} 对应的[官方文档地址](https://bitwarden.com/help/sumo-logic-siem/) {% endhint %} Sumo Logic 是一款能够为您的 Bitwarden 组织提供用户和密码库活动可见性的解决方案。Sumo Logic Bitwarden 集成允许用户监控重要的组织活动,例如登录、失败的两步验证、主密码重置以及解密密钥迁移等。 ## 设置 ### 创建 Sumo Logic 账户 首先,[创建一个 Sumo Logic 账户](https://www.sumologic.com/),或登录具有创建和管理应用程序权限的现有 Sump Logic 账户。 ### 下载 Bitwarden App 1、从 Sumo Logic 仪表盘,导航至 **App Catalog**,然后搜索 Bitwarden。选择 **Install App**。

安装 Bitwarden App

2、接下来,在 **Set Up Collection** 界面上选择 **Create a new Collector**。

创建收集器

3、输入 **Collector Name**、**Timezone** 和可选的 **Metadata**。完成后,选择 **Next**。 4、在 **Configure Source** 界面上,提供应用程序的 **Name**,例如 Bitwarden Event Logs。

配置应用程序连接

5、保持此界面打开,然后在新选项卡中打开您的 Bitwarden 组织的网页密码库。 ### 连接您的 Bitwarden 组织 此时,您需要返回 Bitwarden 网页密码库以获取 **Client ID** 和 **Client Secret** 的值。 1、要获取您的 Bitwarden 组织的 `client_id` 和 `client_secret`,请登录 Bitwarden 网页 App,然后使用产品切换器打开管理控制台:

产品切换器

2、导航到您组织的**设置** → **组织信息**界面,然后选择**查看 API 密钥**按钮。将要求您重新输入主密码,以访问您的 API 密钥信息。

组织 API 信息

3、将 `client_id` 和 `client_secret` 的值复制并粘贴到 Sumo Logic 的 **Configure Source** 界面上对应的位置。 4、完成后,选择 **Next**。 ## 为 Bitwarden App 创建监控器 Sumo Logic Bitwarden App 包含预配置的监控器,可主动检测数据导出、账户泄露以及策略违规等威胁。监控器提供自动化警报机制,在满足条件时将通知您。 1、返回 **App Catalog**,搜索然后选择 Bitwarden App。 2、若此 App 已安装,请导航至 **What's Included** 选项卡。

创建监控器

3、在 **Monitors** 部分中,为您要使用的预配置的监控器选择 **Create**。Sumo Logic 提供了三个预配置的监控器: * 来自受限制的地理位置的事件 * 导出了组织密码库 * 组织禁用了 SSO 4、在「New Monitor」设置界面,设置监视器所需的 **Trigger Conditions**、**Alert Grouping** 和 **Trigger Types**。

设置监控器

5、配置监控器后,选择 **Save**。 ### 开始监控数据 完成 App 设置后,您可打开 Sumo Logic 仪表盘然后开始监控数据。在 Sumo Logic 中,选择 **Dashboards**,然后打开 **Bitwarden - Security** 仪表盘。该安全仪表盘可直观展示从 Bitwarden 事件日志中收集的数据。Bitwarden 事件日志的完整列表可在[此处](/docs/admin-console/oversight-visibility/event-logging/event-logs.md)查阅。

Sumo Logic Bitwarden 仪表盘

### 时间范围 您可以使用位于仪表盘右上角的工具栏筛选仪表盘结果。选择 **🕘**以按时间范围进行筛选:
### 示例查询 您可以在 Sumo Logic 仪表盘上查询 Bitwarden 事件日志。Bitwarden 事件以 JSON 格式传输。示例事件查询如下所示:

Sumo Logic 简单查询

示例查询结构: ``` _sourceCategory=source-category-1 | json "actingUserName", "date", "object", "type", "typeName", "ipAddress","deviceName","actingUserEmail" as user_name, date, object, event_code, event_name, ip, device_name, user_email | lookup event_name from source on event_code=event_code | lookup latitude, longitude,country_name, country_code from geo://location on ip = ip ``` 要了解更多有关 Sumo Logic 高级查询的信息,请参阅 [Sumo Logic Query Language documentation](https://www.sumologic.com/help/docs/search/search-query-language/)。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://help.ppgg.in/docs/admin-console/oversight-visibility/siem-integrations/sumo-logic-siem.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.