ログフォワーダー
[ログフォワーダー]オプションを使用すると、Microsoft 365監査ログを外部SIEM製品またはSyslogサーバーに転送できます。
Syslogサーバーへのログの転送:
SyslogはUNIXシステムのイベントロギングサービスです。この設定を使用して、SIEMのUDPまたはTCPレシーバーに転送することもできます。
Syslogサーバーの設定:
- Syslogデーモンは、初期設定ではUDPポート514で実行されます。
- 初期設定は、Syslogサーバーの構成ファイル/etc/syslog.confで変更できます。
- 変更を有効にするには、必ずSyslogデーモンを再起動してください。
Microsoft 365 Manager PlusでSyslogロギングを有効にする手順:
- [設定]タブに移動します。
- 左側のペインで[管理者]→[管理]→[ログフォワーダー]を選択します。
- [ログ転送を有効にする]チェックボックスをオンにします。
- [Syslog]タブを選択します。
- [Syslogサーバーの名前またはIP]を入力します。このサーバーが、M365 Manager Plusがインストールされているサーバーからアクセス可能であることを確認します。
- 使用する[プロトコル]を選択します。
- [ポート]の番号を入力します。
- ドロップダウンから、SIEMパーサーの必要に応じた[Syslogの種類]を選択します。
外部SIEM製品へのMicrosoft 365ログの転送:Splunk HTTP
Splunk HTTP Event Collectorを設定する手順:
- Splunk管理者アカウントにサインインします。
- ホームページの右上隅にある[設定]を選択します。
- [データ]の下にある[データ入力]を選択します。
- [ローカル入力]で[HTTP Event Collector]を選択します。
- [新しいトークン]を選択します。
- トークンの[名前]を入力します(「M365 Manager Plus」が望ましい)。
- 必要に応じて、残りの項目をカスタマイズします。
- [次へ]をクリックします。
- 必要に応じて[入力設定]をカスタマイズします。
- [レビュー]をクリックします。
- 設定を確認して、[送信]をクリックします。
- [トークン値]項目に値をコピーして保存します。これは、M365 Manager Plusの設定に必要です。
- [設定]→[データ入力]→[HTTP Event Collector]に移動します。
- [グローバル設定]を選択し、[すべてのトークン]を有効にします。
- 必要に応じて、[HTTPポート番号]とその他の項目をカスタマイズできます。
- [保存]をクリックします。
M365 Manager Plusを設定する手順:
- M365 Manager Plusにサインインします。
- [設定]タブに移動します。
- 左側のペインで[管理者]→[管理]→[ログフォワーダー]を選択します。
- [ログ転送を有効にする]チェックボックスをオンにします。
- [Splunk]タブを選択します。
- 使用するSplunk HTTP Event Collectorの[ポート]の番号と[プロトコル]を入力します。
- [認証トークン]項目に、Splunk設定の手順(12)でコピーしたトークン値を入力します。
- [保存する]をクリックします。