方法:Azure Monitor を使用して Azure Active Directory のログを Splunk と統合する

この記事では、Azure Monitor を使用して Azure Active Directory (Azure AD) のログを Splunk と統合する方法について説明します。 最初にログを Azure Event Hub にルーティングした後、イベント ハブを Splunk と統合します。

前提条件

この機能を使用するには、次が必要です。

Azure Active Directory ログの統合

  1. Splunk インスタンスを開き、 [Data Summary]\(データの概要\) を選択します。

    The

  2. [Sourcetypes]\(ソース タイプ\) タブを選択し、mscs:azure:eventhub を選択します

    The Data Summary Sourcetypes tab

検索に body.records.category=AuditLogs を追加します。 次の図のような Azure AD アクティビティ ログが表示されます。

Activity logs

注意

アドオンを Splunk インスタンスにインストールできない場合 (たとえば、プロキシを使用している場合、Splunk Cloud で実行している場合など)、Splunk HTTP Event Collector にこれらのイベントを転送できます。 そのためには、イベント ハブの新しいメッセージによってトリガーされるこの Azure 関数を使います。

次のステップ