集成设置

“日志转发器”选项允许您将 Microsoft 365 审计日志转发到外部 SIEM 产品或 Syslog 服务器。

将日志转发到 Syslog 服务器

Syslog 是 unix 系统中的事件日志服务。您也可以使用此设置转发到 SIEM 的 UDP 或 TCP 接收器。

配置 Syslog 服务器

• Syslog 守护进程默认运行在 UDP 端口 514。
• 默认设置可以在其 Syslog 服务器的 配置文件 /etc/syslog.conf 中修改。.
• 请记得重启 Syslog 守护进程使更改生效。

在 Microsoft 365 Manager Plus 中启用 Syslog 日志的步骤

• 进入 设置 选项卡。
• 选择 管理员 → 管理 → 日志转发器 左侧窗格中。
• 选择 启用日志转发 复选框。
• 选择 Syslog 选项卡。
• 输入 Syslog 服务器名称或 IP。确保该服务器可以从安装 M365 Manager Plus 的服务器访问。
• 选择 协议 。
• 输入 端口 号。
• 选择 Syslog 类型 ，根据您的 SIEM 解析器，从下拉列表中选择。
• 如果您选择的 Syslog 类型是 RFC 3164、RFC 5424 或 CEF，则可以配置以下高级设置：
• 选择严重级别和设施。
• 修改日志转换的日期格式。
• 点击 保存 按钮。

将 Microsoft 365 日志转发到外部 SIEM 产品：Splunk HTTP

配置 Splunk Http 事件收集器的步骤

• 登录到您的 Splunk 管理员账户。
• 选择 设置 从右上角的 主页 页面。
• 选择 数据输入 下的 数据.
• 选择 HTTP 事件收集器 本地输入下。
• 选择 新建令牌.
• 输入 名称 （建议使用 M365 Manager Plus）。
• 如果需要，定制其它字段。
• 点击 下一步.
• 如有需要，定制 输入设置。 审核
• 点击 检查您的设置并点击.
• 提交 复制并保存.
• 令牌值 字段中的值。配置 M365 Manager Plus 时需要此值。 进入
• 设置 → 数据输入 → HTTP 事件收集器 全局设置
• 选择 并启用 所有令牌 如有需要，您可以定制.
• HTTP 端口号 和其它字段。 配置 M365 Manager Plus 的步骤
• 点击 保存.

登录 M365 Manager Plus。

• 进入
• Splunk设置 选项卡。
• 选择 管理员 → 管理 → 日志转发器 左侧窗格中。
• 选择 启用日志转发 复选框。
• 选择 输入 Splunk HTTP 事件收集器的服务器名称或 IP。 选项卡。
• 输入
• 输入 端口 端口号， 协议 。
• 输入 字段中的值。配置 M365 Manager Plus 时需要此值。 以及在 认证令牌 字段中输入第(12)步中复制的令牌。
• 点击 保存.