Splunk 成功获取 MS Azure AD 数据

1: 背景：

最近客户的Azure AD 的数据在splunk 数据获取失败，我来trouble shooting 发现是splunk 和Azure AD 直接的连接出了问题，正好来回顾一下这个case:

通过Splunk 的日志查找：

index=_internal, host=ABC, failed, 就可以看到取Azure AD  的密码报错。

2: 解决问题：

2.1: 先到Splunk 上获取这个Azure 的途径：

安装Ms Azure Add-on for splunk

这个add-on 可以在heavy forwarder 上安装：

注意： 增加account 的时候，有：Client ID / Client Secret.

再回到MS azure 的界面：

进入: portal.azure.com: 可以看到：

 点击进去后，然后点击左边的APP registration, 然后右边点击： All appication, 可以看到这个 AD 下面所有的app 的连接log.

2.2, 然后点击相应的 app 后：出现如下：