日志转发器

“日志转发器”选项允许您将 Microsoft 365 审计日志转发到外部 SIEM 产品或 Syslog 服务器。

将日志转发到 Syslog 服务器：

Syslog 是 unix 系统中的事件日志服务。您也可以使用此设置将日志转发到 SIEM 的 UDP 或 TCP 接收器。

配置 Syslog 服务器：

• Syslog 守护进程默认运行在 UDP 端口 514。
• 默认设置可以在其 Syslog 服务器的 配置文件 /etc/syslog.conf 中修改.
• 请记得重启 Syslog 守护进程以使更改生效。

在 M365 Security Plus 中启用 Syslog 记录的步骤：

• 导航到 设置 → 管理 → 管理 → 集成设置 在左侧面板。选择 日志转发器.
• 选择 启用日志转发 复选框。
• 选择 Syslog 选项卡。
• 输入 Syslog 服务器名称或 IP。确保此服务器从安装有 M365 Security Plus 的服务器可达。
• 选择 协议 。
• 输入 端口 号。
• 选择 Syslog 类型 ，根据您的 SIEM 解析器需要，从下拉列表中选择。

将 Microsoft 365 日志转发到外部 SIEM 产品：Splunk HTTP

配置 Splunk Http 事件收集器的步骤：

• 登录您的 Splunk 管理员账户。
• 选择 在右上角点击 设置 页面。 首页
• 选择 数据输入 位于 数据.
• 选择 HTTP 事件收集器 位于本地输入下。
• 选择 新令牌.
• 输入一个 名称 作为令牌名。（建议使用 M365 Security Plus）。
• 如有需要，请自定义其余字段。
• 点击 下一步.
• 如有需要，自定义 输入设置 。
• 点击 审核.
• 检查您的设置并点击 提交.
• 复制并保存 令牌值 字段中的值。您需要使用它配置 M365 Security Plus。
• 转到 设置 → 数据输入 → HTTP 事件收集器
• 选择 全局设置 并启用 所有令牌.
• 如有需要，您可以自定义 HTTP 端口号 及其他字段。
• 点击 保存.

配置 M365 Security Plus 的步骤：

• 登录 M365 Security Plus。
• 导航到 设置 → 管理 → 管理 → 集成设置 在左侧面板。选择 日志转发器.
• 选择 启用日志转发 复选框。
• 选择 在 选项卡。
• 输入 端口 Splunk HTTP 事件收集器号码和 协议 。
• 输入 令牌值 您在 Splunk 配置第（12）步中复制的令牌 验证令牌 字段中输入。
• 点击 保存.