Forwarding Audit Events to Custom Destinations
Audit Event Forwarding is not available in the US1-FED site.
Audit Event Forwarding is in beta.
概要
Audit Event Forwarding allows you to send audit events from Datadog to custom destinations like Splunk, Elasticsearch, and HTTP endpoints. Audit events are forwarded in JSON format. You can add up to three destinations for each Datadog org.
Note: Only Datadog users with the audit_trail_write
permission can create, edit, or delete custom destinations for forwarding audit events.
Set up audit event forwarding to custom destinations
- Add webhook IPs from the IP ranges list to the allowlist if necessary.
- Navigate to Audit Trail Settings.
- Click Add Destination in the Audit Event Forwarding section.
- Enter the query to filter your audit events for forwarding. For example, add
@action:login
as the query to filter if you only want to forward login events to your SIEM or custom destination. See Search Syntax for more information. - Destination Type を選択します。
- 宛先の名前を入力します。
- Define endpoint フィールドで、ログを送信するエンドポイントを入力します。エンドポイントは、
https://
で始まる必要があります。- 例えば、Sumo Logic にログを送信する場合、ログとメトリクスのための HTTP ソースの構成ドキュメント に従って HTTP Source Address URL を取得し、コレクターにデータを送信します。HTTP Source Address URL を Define endpoint フィールドに入力します。
- Configure Authentication セクションで、以下の認証タイプのいずれかを選択し、関連する詳細を入力します。
- Basic Authentication: ログの送信先となるアカウントのユーザー名とパスワードを入力します。
- Request Header: Provide the header name and value. For example, if you use the Authorization header and the username for the account to which you want to send logs is
myaccount
and the password is mypassword
:- Enter
Authorization
for the Header Name. - ヘッダー値は
Basic username:password
というフォーマットで、username:password
は base64 でエンコードされています。この例では、ヘッダー値は Basic bXlhY2NvdW50Om15cGFzc3dvcmQ=
となります。
- Save をクリックします。
- 宛先の名前を入力します。
- Configure Destination セクションで、ログを送信するエンドポイントを入力します。エンドポイントは、
https://
で始まる必要があります。例えば、https://<your_account>.splunkcloud.com:8088
と入力します。注: エンドポイントには /services/collector/event
が自動的に付加されます。 - Configure Authentication セクションで、Splunk HEC トークンを入力します。Splunk HEC トークンの詳細については、HTTP Event Collector のセットアップと使用を参照してください。
- Save をクリックします。
注: インデクサ確認応答を無効にする必要があります。
宛先の名前を入力します。
In the Configure Destination section, enter the following details:
a. The endpoint to which you want to send the logs. The endpoint must start with https://
. An example endpoint for Elasticsearch: https://<your_account>.us-central1.gcp.cloud.es.io
.
b. The name of the destination index where you want to send the logs.
c. Optionally, select the index rotation for how often you want to create a new index: No Rotation
, Every Hour
, Every Day
, Every Week
, or Every Month
. The default is No Rotation
.
Configure Authentication セクションで、Elasticsearch アカウントのユーザー名とパスワードを入力します。
Save をクリックします。
その他の参考資料