如何將活動記錄串流至事件中樞

若要使用這項功能，您需要 Microsoft 雲端服務的 Splunk 附加元件。

整合 Microsoft Entra 記錄與 Splunk

1. 開啟您的 Splunk 執行個體，並選取 [資料摘要]。

   

2. 依序選取 [Sourcetypes] 索引標籤和 [mscs:azure:eventhub]

   

在搜尋添加 body.records.category=AuditLogs。 下圖顯示 Microsoft Entra 活動記錄：

如果您無法在 Splunk 執行個體中安裝附加元件 (例如，如果您使用 Proxy，或在 Splunk Cloud 上執行)，您可以將這些事件轉送至 Splunk HTTP 事件收集器。 若要這樣做，請使用此 Azure 函式，事件中樞中的新訊息會觸發此函式。

若要使用此功能，您需要已啟用 SumoLogic 單一登入的訂用帳戶。

整合 Microsoft Entra 記錄與 SumoLogic

1. 設定 SumoLogic 執行個體，以收集 Microsoft Entra ID 的記錄。

2. 安裝 Microsoft Entra SumoLogic 應用程式，以使用可即時分析環境的預先設定儀表板。

   

若要使用此功能，您需要已設定的 ArcSight Syslog NG Daemon SmartConnector (SmartConnector) 或 ArcSight Load Balancer 執行個體。 如果事件傳送到 ArcSight Load Balancer，Load Balancer 會將事件傳送至 SmartConnector。

下載並開啟適用於 Azure 監視器事件中樞的 ArcSight SmartConnector 設定指南。 本指南包含所需步驟，可用來安裝和設定適用於 Azure 監視器的 ArcSight SmartConnector。

整合 Microsoft Entra 記錄與 ArcSight

1. 完成 ArcSight 設定指南先決條件一節中的步驟。 本節包含下列步驟：

   • 在 Azure 中設定使用者權限，以確保有使用者具有擁有者角色，可以部署和設定連接器。
   • 在具有 Syslog NG Daemon SmartConnector 的伺服器上開啟連接埠，以便從 Azure 存取。
   • 部署作業會執行 PowerShell 指令碼，因此您必須啟用 PowerShell，在您要部署連接器的電腦上執行指令碼。

2. 遵循 ArcSight 設定指南部署連接器一節中的步驟來部署連接器。 本節會引導您了解如何下載及解壓縮連接器、設定應用程式屬性，以及從解壓縮的資料夾執行部署指令碼。

3. 使用確認 Azure 中的部署中的步驟，來確定連接器的設定和運作皆正常。 確認下列必要條件：

   • 已在 Azure 訂用帳戶中建立必要的 Azure 函式。
   • Microsoft Entra 記錄已串流至正確的目的地。
   • 部署中的應用程式設定會保存在 Azure 函式應用程式中的應用程式設定內。
   • 使用適用於 ArcSight 連接器的 Microsoft Entra 應用程式，以及含有 CEF 格式對應檔案的儲存體帳戶，在 Azure 中為 ArcSight 建立新的資源群組。

4. 完成 ArcSight 設定指南部署後設定中的部署後步驟。 本節說明當您使用 App Service 方案時如何執行其他設定，以防止函式應用程式在逾時期間過後進入閒置狀態、設定串流來自事件中樞的資源記錄，以及更新 SysLog NG Daemon SmartConnector 金鑰儲存區憑證，使其與新建立的儲存體帳戶相關聯。

5. 設定指南也會說明如何在 Azure 中自訂連接器屬性，以及如何升級和解除安裝連接器。 另有一節說明如何改進效能，包括升級至 Azure 使用量方案，以及在事件負載大於單一 Syslog NG Daemon SmartConnector 的處理能力時設定 ArcSight Load Balancer。