Troubleshooting
Problem
Office 365 に接続しようとすると、次のようなメッセージが表示されます。
Unable to start a content subscription. Terminating query thread for [Audit.SharePoint]
Unable to start a content subscription. Terminating query thread for [Audit.Exchange]
Access token error
Resolving The Problem
- Office 365 の DSM およびプロトコルが、 FixCentral 上の最新バージョンであることを確認します。
- 「 Automatically Acquire Server Certificate(s) 」(サーバー証明書の自動取得)オプションが UI から削除され、現在はプロトコルが証明書を検証する方法が異なっているため、証明書のコピーは必要ありません。
- ログ・ソースを「無効」にして、再度「有効」に切り替えます。 http エラー 400 または 500 を受信した場合、それらのエラーは Azure の Office 365 アカウントに関連しています。
アクセス・トークンの取得、またはトークンを手動で取得できるかをチェックするには、以下のコマンドを実行します。
- アクセス・トークンを取得するには、次のコマンドを入力します:
curl -d "client_secret=<client secret>&resource=https://manage.office.com&client_id=<client id>&grant_type=client_credentials" -X POST https://login.windows.net/<tenant id>/oauth2/token - サブスクリプション・タイプを停止するには、次のコマンドを入力します:
curl -d "" -H "Authorization: Bearer (access token)" -X POST https://manage.office.com/api/v1.0/<tenant id>/activity/feed/subscriptions/stop?contentType=Audit.AzureActiveDirectory - サブスクリプションが停止した後、次のコマンドを実行してサブスクリプションを開始します。
curl -d "" -H "Authorization: Bearer <access token>" -X POST https://manage.office.com/api/v1.0/<tenantid>/activity/feed/subscriptions/start?contentType=Audit.AzureActiveDirectory - 以下のコマンドを使用して QRadar にイベントを再取得します。
curl -d "" -H "Authorization: Bearer <access token>" -X GET https://manage.office.com/api/v1.0/<tenant id>/activity/feed/subscriptions/content?contentType=Audit.AzureActiveDirectory
以下のエラーが表示された場合、 Client Secret の期限切れが原因です。
{"error":"invalid_client","error_description":"Example0002: Error validating credentials. Example0012: Invalid client secret is provided - Microsoft から新しい Client Secret を入手してください。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"DSMs","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
08 January 2021
UID
ibm10959141