Related Articles
M365 Manager Plus 可否将 M365 审计日志转发到Splunk或者Syslog 服务器?
M365 Manager Plus 支持通过集成 Syslog 服务器/Splunk 的方式转发M365审计日志到 Syslog 服务器/Splunk。 集成方式可参考文档:https://www.manageengine.com/microsoft-365-management-reporting/help/settings/admin/general-settings/log-forwarder.html
ADAudit Plus的日志转发(SIEM集成),是怎样的原理?
1.原理:“SIEM 集成”选项允许您将数据从 ADAuditPlus 实时转发到外部 SIEM 产品或系统日志服务器。 2.是否实时转发?是的
Eventlog Analyzer将日志转发给SIEM时, 是否会保留日志副本?
EventLog Analyzer从配置的设备收集日志,然后将其作为syslog日志转发到指定的IP地址,同时将相同的日志存储在本地的ElasticSearch中。
在ADAudit Plus中如何配置SIEM集成
如下图所示: 输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用)和RFC,然后右上角选择需要转发的ADAudit Plus中的日志事件。 比如使用的卓豪的日志分析产品Event log Analyzer,配置如下: 如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog,那说明配置成功了。
ELA是否支持日志转发到SIEM?
支持的,能够将收集到的日志以syslog形式转发。具体配置可参考:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/Configurations/log-forwarder.html