# splunk app for office 365 setting note ## install app [Splunk Add-on for Microsoft Office 365](https://splunkbase.splunk.com/app/4055/) ## install manuale ## installで必須になること 以下を参照する [Hardware and software requirements for the Splunk Add-on for Microsoft Office 365](https://docs.splunk.com/Documentation/AddOns/released/MSO365/Hardwareandsoftwarerequirements) - InstallするにはSplunkで管理するユーザーにAdmin権限が必要である。 - Office365にアクセウスするユーザーにはAdmin権限もしくは、以下にアクセスできる権限があるユーザーが必要である。 - Azure Actice Directory - Office 365 Management Activity API - Office 365 Service Communication API ## install手順 1. Download the Splunk Add-on for Microsoft Office 365 from Splunkbase. `Microsoft Office 365 from Splunkbase`をダウンロードしてくる。 3. Determine where and how to install this add-on in your deployment. 5. Perform any prerequisite steps before installing. 6. Complete your installation. 実際には、SplunkのAPPから`office` と検索して `Splunk Add-on for Microsoft Office 365` をインストールする。 ## office 365 app の Appdate ## source type source typeは以下のサイトを参考にする [Source types for the Splunk Add-on for Microsoft Office 365 ](https://docs.splunk.com/Documentation/AddOns/released/MSO365/Sourcetypes) # office365側の設定 ## APIのアクセスポイントを作成する [office365ログイン]→[管理]→[Azure active directory]→[アプリの登録]から作成する ## 証明書の発行 [アプリの登録]内の対象のアプリ配下の[証明書とシークレット]にて証明書は発行できる。 Splunkとoffice365でやり取りするために、AzureADで作成したAppから証明書を発行する際に、API keyも同時に作成される。 ※このkeyは後ほど取得並び確認することができなくなるので、必ず作成したタイミングで控えておくこと。 # [Splunk addon for microsoft office365]側の設定 ## テナントの設定 [splunkログイン]→[Splunk addon for microsoft office365]→[tenant]にて 以下の項目にしたがって値を入力していく Tenant Name: Endpoint Tenant ID Client ID Action これらの設定を行うことで、登録したテナントから必要なAPPを利用することができる。 ## 入力の設定 [splunkログイン]→[Splunk addon for microsoft office365]→[入力]にて 以下の項目ごとに入力を作成する Audit.AzureActiveDirectory Audit.Exchange Audit.General Audit.sharePoint DLP.All CurrentStatus HistoricalStatus Service.Message.Input これらの設定を行うことで、各データを取り込むことができる。