Procedimientos: Integrar los registros de Azure Active Directory con Splunk mediante Azure Monitor

En este artículo, se ofrece información sobre cómo integrar los registros de Azure Active Directory (Azure AD) con Splunk mediante Azure Monitor. En primer lugar, se enrutan los registros a un centro de eventos de Azure y, a continuación, se integra el centro de eventos con Splunk.

Prerrequisitos

Para usar esta característica, necesita:

Integración de registros de Azure Active Directory

  1. Abra la instancia de Splunk y seleccione Data Summary (Resumen de datos).

    The

  2. Seleccione la pestaña Sourcetypes y, a continuación, seleccione mscs:azure:eventhub

    The Data Summary Sourcetypes tab

Anexe body.records.category=AuditLogs a la búsqueda. Los registros de actividad de Azure AD se muestran en la ilustración siguiente:

Activity logs

Nota:

Si no puede instalar un complemento en la instancia de Splunk (por ejemplo, si usa un proxy o se ejecuta en Splunk Cloud), puede reenviar estos eventos al recopilador de eventos de HTTP de Splunk. Para ello, use esta función de Azure que se desencadena con los nuevos mensajes del centro de eventos.

Pasos siguientes