Office 365 管理活动 API 输入
编辑Office 365 管理活动 API 输入编辑
[8.14.0] 已在 8.14.0 中弃用。
o365audit 输入已被弃用。要收集 Microsoft Office 365 日志数据,请使用 Microsoft 365 集成包。对于更复杂或用户特定的用例,可以使用 CEL 输入 实现类似的功能。
此功能处于测试阶段,可能会发生变化。其设计和代码不如正式的 GA 功能成熟,并且按原样提供,不作任何保证。测试版功能不受正式 GA 功能支持 SLA 的约束。
使用 o365audit 输入从 Office 365 和 Azure AD 活动日志中检索审计消息。这些日志与“安全与合规性”中心“审计日志搜索”下的日志相同。
只要将单个应用程序配置为访问所有租户,就可以使用单个输入实例来获取多个租户的事件。在这种情况下,建议使用基于证书的身份验证。
此输入不会对传入消息执行任何转换,特别是不会填充任何 Elastic 通用模式字段,并且某些数据被编码为对象数组,这在 Elasticsearch 中难以查询。您可能希望改用 Office 365 模块。
配置示例
filebeat.inputs: - type: o365audit application_id: my-application-id tenant_id: my-tenant-id client_secret: my-client-secret
还支持多租户和基于证书的身份验证
filebeat.inputs:
- type: o365audit
application_id: my-application-id
tenant_id:
- tenant-id-A
- tenant-id-B
- tenant-id-C
certificate: /path/to/cert.pem
key: /path/to/private.pem
# key_passphrase: "my key's password"
配置选项编辑
o365audit 输入支持以下配置选项以及稍后介绍的 通用选项。
application_id编辑
Azure 应用程序用于身份验证的应用程序 ID(也称为客户端 ID)。
tenant_id编辑
要获取其数据的租户 ID(也称为目录 ID)。也可以指定租户 ID 列表以从多个租户获取数据。
content_type编辑
要获取的内容类型列表。默认情况下,将获取所有已知的内容类型
- Audit.AzureActiveDirectory
- Audit.Exchange
- Audit.SharePoint
- Audit.General
- DLP.All
client_secret编辑
用于身份验证的客户端密钥。
certificate编辑
用于基于证书的身份验证的公钥文件路径。
key编辑
证书私钥文件的路径,用于基于证书的身份验证。
key_passphrase编辑
用于解密私钥的密码。
api.authentication_endpoint编辑
用于授权 Azure 应用程序的身份验证终结点。默认情况下为 https://login.microsoftonline.com/,可以更改为访问其他终结点。
api.resource编辑
要从中检索信息的 API 资源。默认情况下为 https://manage.office.com,可以更改为访问其他终结点。
api.max_retention编辑
要支持的最大数据保留期限。默认情况下为 168h。Filebeat 首次运行时将获取租户的所有保留数据。
api.poll_interval编辑
轮询 API 服务器以获取新事件之前要等待的时间间隔。默认值为 3m。
api.max_requests_per_minute编辑
每个租户每分钟要执行的最大请求数。默认值为 2000,因为这是每个租户的服务器端限制。
api.max_query_size编辑
API 在单个查询中允许的最大时间窗口。默认为 24h,以符合 Microsoft 记录的限制。
api.preserve_original_event编辑
控制是否将原始 o365 审计对象保留在 event.original 中。默认为 false。
通用选项编辑
所有输入都支持以下配置选项。
enabled编辑
使用 enabled 选项启用和禁用输入。默认情况下,enabled 设置为 true。
tags编辑
Filebeat 包含在每个已发布事件的 tags 字段中的标记列表。标记可以轻松地在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤。这些标记将附加到常规配置中指定的标记列表中。
示例
filebeat.inputs: - type: o365audit . . . tags: ["json"]
fields编辑
您可以指定要添加到输出中的附加信息的可选字段。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。
filebeat.inputs:
- type: o365audit
. . .
fields:
app_id: query_engine_12
fields_under_root编辑
如果此选项设置为 true,则自定义 字段 将作为顶级字段存储在输出文档中,而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
processors编辑
要应用于输入数据的处理器列表。
有关在配置中指定处理器的详细信息,请参阅 处理器。
pipeline编辑
要为此输入生成的事件设置的摄取管道 ID。
管道 ID 也可以在 Elasticsearch 输出中配置,但是此选项通常会导致配置文件更简单。如果在输入和输出中都配置了管道,则使用输入中的选项。
keep_null编辑
如果此选项设置为 true,则具有 null 值的字段将在输出文档中发布。默认情况下,keep_null 设置为 false。
index编辑
如果存在,此格式字符串将覆盖此输入事件的索引(对于 elasticsearch 输出),或设置事件元数据的 raw_index 字段(对于其他输出)。此字符串只能引用代理名称和版本以及事件时间戳;要访问动态字段,请使用 output.elasticsearch.index 或处理器。
示例值:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会扩展为 "filebeat-myindex-2019.11.01"。
publisher_pipeline.disable_host编辑
默认情况下,所有事件都包含 host.name。可以将此选项设置为 true 以禁用将此字段添加到所有事件中。默认值为 false。