当記事では、LogStare Collector v2.2.0にて追加された新機能であるM365監査ログ(旧 O365 監査ログ)収集の設定について記載します。

その他の新機能・変更・修正内容につきましては以下の記事を参照してください。
LSC v2.2.0 build 220121 リリースノート

更新履歴

2022/02/14 公開しました。

対象バージョン

LogStare Collecotr v2.2.0 build 220121以降のバージョン

M365 監査ログ収集とは…

Office 365 管理アクティビティ APIを用いてO365監査ログをLogStare Collectorにて取得する機能となります。利用する際には、予めMicrosoftのAzureポータル管理画面等で監査ログ出力設定やアプリの登録などを行います。LogStare Collectorサーバーにその設定を割り当てることでM365監査ログを収集することができます。

予めMicrosoftのAzureポータル管理画面等で行う設定については下記の記事をご参照ください。
※監査ログに出力
※Microsoft Azureポータル画面での設定

M365 監査ログ収集設定

本記事では、全てのM365監査ログを収集する設定を例に説明します。

• 「監視・収集」項目の「収集」ボタンを選択し、プルダウンメニューから「Office365監査ログ」を選択します。
  
• 表示された「監視・収集追加」画面にてOffice365収集情報を入力します。
  • 監視・収集項目：「Office365監査ログ」を選択します。
  • 監視ON/OFF：監視ONが選択されていることを確認します。
  • 取得エラー判定回数：「注意」「警告」にそれぞれ値を設定します。詳細につきましては下記の記事をご参照ください。
    取得エラー判定回数と閾値の監視設定について
  • IPアドレス：監視対象のIPアドレスを設定します。
    ※Office365監査ログでは、登録する機器のIPアドレスは問わないため、当記事では「127.0.0.1」を使用します。
  • タイムアウト：タイムアウト値を設定します。
  • 収集開始日：いつからのログを収集するか選択します。Office 365 管理アクティビティ APIの仕様上、7日より前を指定することはできません。
  • 実行周期（分）：M365 監査ログを毎時いつのタイミングで収集するかを指定します。設定範囲は、１分から1440分(1日 1440分)です。規定値の60分の場合、LogStare Collector が10:00:00にサービス起動した場合は、10:00:00、11:00:00、12:00:00の60分間隔でログを収集します。この場合、収集対象となるログは下記の範囲です。
    ・10:00:00のタイミングでは、8:00:00～8:59:59までのログを収集対象とします。
    ・11:00:00のタイミングでは、9:00:00～9:59:59までのログを収集対象とします。
    ・12:00:00のタイミングでは、10:00:00～10:59:59までのログを収集対象とします。
    初めてログを収集する初回のタイミングでは、収集開始日を参照します。収集開始日は、初めてログを収集するときのみ利用され、設定自体が消えない限り使われません。2回目以降の収集タイミングでは、前回収集した時間帯のログから収集を開始します。設定を短くすることでログの収集間隔も短くなりますが、Office 365 管理アクティビティ APIの仕様上、ログはリアルタイムに出力されません。概ね30分から最長24時間後に対象の監査ログが出力されることがあります。ログ量が少ない場合は、空振りとなる通信が多くなる点に留意する必要があります。ログ量が多い場合は、収集間隔を短くすることで処理を早めるようチューニングすることができます。
  • 認証情報：予めMicrosoftのAzureポータル管理画面等で行った設定で得られた情報を設定します。これらはLogStare CollectorからOffice365サービスへ監査ログを収集する際に必要なアクセス情報です。
  • シークレットキー期間：予めMicrosoftのAzureポータル管理画面等で行ったシークレットIDのキー期間を設定します。以前に設定できた「無し」を現在選択することはできません。現在は日単位で設定をさせるようになっており、最長2年です。シークレットキーを作成した期間が1年未満の場合は1年、2年未満の場合は2年を設定します。
  • コンテンツタイプ：収集したいM365監査ログの種類を選択します。複数選択可能です。
    ・Audit.AzureActiveDirectoryは、ActiveDirectoryの監査ログです。
    ・Audit.Exchangeは、Exchangeの監査ログです。E5ユーザーなど上位のサブスクリプションでは送信ログも含まれます。通常は受信ログのみです。
    ・Audit.SharePointは、SharePointやOneDrive、MicrosoftTeamsの監査ログです。
    ・Audit.Generalは、その他一般の監査ログです。
    監査ログの量によって、先にSharePointの監査ログを収集したい場合は、コンテンツタイプの並びを先頭に置くことで、先にSharePointの監査ログから取り始めます。
  • 時間演算：通常監査ログのタイムスタンプはUTCです。監査ログのタイムスタンプをこの時間演算に指定したタイムゾーンに合わせます。
  • Proxy選択： Proxyが間にある場合にProxy設定を行います。
  • マッチング検知：アラート条件を設定します。アラートメール通知を行うためには環境設定にて通知設定を行う必要があります。環境設定の詳細につきましては、下記の記事をご参照ください。アラートが必要ない場合は設定の必要はありません。
    LogStare Collector における環境設定について
  • アラートメール送信先：当該収集項目におけるアラートメール送信先を設定します。詳細につきましては下記の記事をご参照ください。
    アラートメールの仕様（環境設定/個別設定）
  • テストボタン：設定した認証情報を基にログが収集できるかどうかテストします。下記は正常に監査ログが収集できることを表しています。
    

• 右下の「追加」を押下すると追加確認画面が表示されますので「はい」をクリックします。

以上でM365監査ログ収集の設定についての説明は終了となります。

※M365監査ログをLSC・専門知識不要で収集・分析できるクラウドサービスはこちら

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。