Como: Integrar registos do Azure Active Directory no Splunk com o Azure Monitor

Neste artigo, aprende-se a integrar Azure Ative Directory registos (Azure AD) com o Splunk utilizando o Azure Monitor. Primeiro, encaminha os registos para um centro de eventos Azure, e depois integra o centro de eventos com o Splunk.

Pré-requisitos

Para utilizar esta funcionalidade, precisa de:

• Um centro de eventos Azure que contém registos de atividade azure AD. Aprenda a transmitir os seus registos de atividade para um centro de eventos.

• O Splunk Add-on para a Microsoft Serviços Cloud.

Integrar registos de Azure Ative Directory

1. Abra a sua instância Splunk e selecione O Resumo de Dados.

   

2. Selecione o separador Tipos de Origem e, em seguida, selecione mscs:azure:eventhub

   

Append body.records.category=AuditLogs à pesquisa. Os registos de atividade AZure AD são apresentados na seguinte figura:

Nota

Se não conseguir instalar um addon no seu exemplo Splunk (por exemplo, se estiver a usar um proxy ou a correr em Splunk Cloud), pode encaminhar estes eventos para o Splunk HTTP Event Collector. Para tal, utilize esta função Azure, que é desencadeada por novas mensagens no centro de eventos.

Passos seguintes

• Interpretar esquema de registos de auditoria no Azure Monitor
• Interpret sign-in logs schema in Azure Monitor (Interpretar o esquema dos registos de início de sessão no Azure Monitor)
• Perguntas mais frequentes e problemas conhecidos