日志转发器

'日志转发器' 选项可以让您转发Office 365审计日志给外部SIEM产品或Syslog服务器。

转发日志至Syslog服务器：

Syslog是在unix系统的事件日志服务。您也可以使用这个设置转发您的SIEM UDP或TCP接收器。

配置Syslog服务器：

• Syslog后台程序默认运行在UDP端口514。
• 默认设置可以在Syslog服务器configurationfile/etc/syslog.conf修改。
• 记得重启Syslog后台程序，更改生效。

在Office 365 manager Plus中启用Syslog日志的步骤

• 前往设置页签。
• 在左窗格选择管理员 → 管理 → 日志转发器。
• 选择启用日志转发复选框。
• 选择Syslog页签。
• 输入Syslog服务器名或IP。确保从安装O365 Manager Plus的服务器可以访问到这个服务器。
• 选择所使用的协议。
• 输入端口号。
• 根据SIEM解析器，从下拉菜单选择Syslog类型。

转发Office 365日志至外部SIEM产品 : Splunk HTTP

配置Splunk Http事件收集器的步骤：

• 登录Splunk管理员账号。
• 从主页右上角，选择设置。
• 在数据下，选择数据输入。
• 在本地输入选择HTTP事件收集器。
• 选择新令牌。
• 输入令牌名称。 (推荐O365 Manager Plus)。
• 如果需要，自定义剩余字段。
• 点击下一步。
• 如果需要，自定义输入设置。
• 点击审阅。
• 检查设置并点击提交。
• 复制并保存令牌值字段。您将在配置O365 Manager Plus时会用到。
• 前往设置 → 数据输入 → HTTP事件收集器。
• 选择全局设置并启用 所有令牌。
• 如果需要，您可以自定义HTTP端口号和剩余字段。
• 点击保存。

配置O365 Manager Plus的步骤：

• 登录O365 Manager Plus。
• 前往设置页签。
• 在左窗格选择管理员→ 管理 → 日志转发器。
• 选择启用日志转发器复选框。
• 选择Splunk页签。
• 输入Splunk HTTP事件收集器端口号和使用的协议。
• 在认证令牌字段，输入您在步骤(12)复制的Splunk配置的令牌值。
• 点击保存。