Sdílet prostřednictvím


Odesílání dat protokolu Intune do služby Azure Storage, Event Hubs nebo Log Analytics

Microsoft Intune obsahuje integrované protokoly, které poskytují informace o vašem prostředí:

  • Protokoly auditu zobrazují záznamy aktivit, které generují změnu v Intune, včetně akcí vytvoření, aktualizace (úpravy), odstranění, přiřazení a vzdálených akcí.
  • Provozní protokoly zobrazují podrobnosti o uživatelích a zařízeních, které se úspěšně (nebo nepodařilo) zaregistrovat, a podrobnosti o zařízeních nedodržující předpisy.
  • Organizační protokoly dodržování předpisů zařízením zobrazují sestavu organizace pro dodržování předpisů zařízením v Intune a podrobnosti o zařízeních, která nedodržují předpisy.
  • Zařízení Intune Zobrazují informace o inventáři a stavu zařízení pro Intune zaregistrovaná a spravovaná zařízení.

Tyto protokoly je také možné odesílat do služeb Azure Monitor, včetně účtů úložiště, event hubs a Log Analytics. Konkrétně můžete:

  • Archivujte Intune protokoly do účtu služby Azure Storage, aby se data zachovala, nebo archivujte po stanovenou dobu.
  • Stream Intune protokoly do Azure Event Hubs pro analýzu pomocí oblíbených nástrojů pro správu událostí a informací o zabezpečení (SIEM), jako jsou Splunk a QRadar.
  • Integrujte Intune protokoly s vlastními řešeními protokolů streamováním do služby Event Hubs.
  • Odešlete Intune protokoly do Log Analytics, abyste umožnili bohaté vizualizace, monitorování a upozorňování na připojená data.

Tyto funkce jsou součástí nastavení diagnostiky v Intune.

Tento článek popisuje, jak pomocí nastavení diagnostiky odesílat data protokolu do různých služeb, uvádí příklady & odhady nákladů a odpovídá na některé běžné otázky. Po povolení této funkce se vaše protokoly směrují do služby Azure Monitor, kterou zvolíte.

Poznámka

Tyto protokoly používají schémata, která se můžou změnit. Pokud chcete poskytnout zpětnou vazbu, včetně informací v protokolech, přejděte na Zpětnou vazbu pro Intune.

Požadavky

K použití této funkce potřebujete:

V závislosti na tom, kam chcete směrovat data protokolu auditu, potřebujete jednu z následujících služeb:

Odesílání protokolů do Azure Monitoru

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Nastavení diagnostiky sestav>. Při prvním otevření ho zapněte. V opačném případě přidejte nastavení.

    Snímek obrazovky, který ukazuje, jak zapnout nastavení diagnostiky v Microsoft Intune pro odesílání protokolů do Služby Azure Monitor

    Pokud se vaše předplatné Azure nezobrazuje, přejděte do pravého horního rohu a vyberte adresář switch přihlášeného účtu>. Možná budete muset zadat účet předplatného Azure.

  3. Zadejte tyto vlastnosti:

    • Název: Zadejte název nastavení diagnostiky. Toto nastavení zahrnuje všechny vlastnosti, které zadáte. Zadejte Route audit logs to storage accountnapříklad .

    • Archivace do účtu úložiště: Uloží data protokolu do účtu služby Azure Storage. Pokud chcete data uložit nebo archivovat, zvolte tuto možnost.

      1. Vyberte tuto možnost >Konfigurovat.
      2. V seznamu >OK vyberte existující účet úložiště.
    • Stream do centra událostí: Streamuje protokoly do Azure Event Hubs. Pokud chcete data protokolů analyzovat pomocí nástrojů SIEM, jako jsou Splunk a QRadar, zvolte tuto možnost.

      1. Vyberte tuto možnost >Konfigurovat.
      2. V seznamu >OK zvolte existující obor názvů a zásadu služby Event Hubs.
    • Odeslat do Log Analytics: Odešle data do Azure Log Analytics. Pokud chcete pro své protokoly používat vizualizace, monitorování a upozorňování, zvolte tuto možnost.

      1. Vyberte tuto možnost >Konfigurovat.

      2. Vytvořte nový pracovní prostor a zadejte podrobnosti o pracovním prostoru. Nebo zvolte existující pracovní prostor ze seznamu >OK.

        Další podrobnosti o těchto nastaveních najdete v pracovním prostoru služby Azure Log Analytics.

    • KLÁDA>AuditLogs: Tuto možnost vyberte, pokud chcete odesílat protokoly auditu Intune do vašeho účtu úložiště, služby Event Hubs nebo Log Analytics. Protokoly auditu zobrazují historii všech úloh, které generují změnu v Intune, včetně toho, kdo a kdy to udělal. Další referenční informace najdete v tématu IntuneAuditLogs.

      Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na 0 (nula).

    • KLÁDA>OperationalLogs: Provozní protokoly zobrazují úspěch nebo selhání uživatelů a zařízení, která se registruje do Intune, a podrobnosti o zařízeních nesplňujících předpisy. Tuto možnost zvolte, pokud chcete protokoly registrace odeslat do účtu úložiště, služby Event Hubs nebo Log Analytics. Další referenční informace najdete v tématu IntuneOperationalLogs.

      Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na 0 (nula).

    • KLÁDA>DeviceComplianceOrg: V protokolech organizace dodržování předpisů zařízením se zobrazuje sestava dodržování předpisů zařízením v Intune a podrobnosti o zařízeních, která nedodržují předpisy. Tuto možnost vyberte, pokud chcete odesílat protokoly dodržování předpisů do účtu úložiště, služby Event Hubs nebo Log Analytics. Další referenční informace najdete v tématu IntuneDeviceComplianceOrg.

      Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na 0 (nula).

    • KLÁDA>IntuneDevices: Protokol zařízení Intune zobrazuje informace o inventáři a stavu zařízení pro Intune zaregistrovaná a spravovaná zařízení. Tuto možnost zvolte, pokud chcete odesílat protokoly IntuneDevices do vašeho účtu úložiště, služby Event Hubs nebo Log Analytics. Další referenční informace najdete v tématu IntuneZasídky.

      Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na 0 (nula).

    Po dokončení budou vaše nastavení vypadat podobně jako následující nastavení:

    Snímek obrazovky, který ukazuje, jak odesílat protokoly auditu Microsoft Intune do účtu služby Azure Storage

  4. Uložte provedené změny. Vaše nastavení se zobrazí v seznamu. Po vytvoření nastavení můžete nastavení změnit tak, že vyberete Upravit nastavení>Uložit.

Použití protokolů auditu v celém Intune

Můžete také exportovat protokoly auditu používané v jiných částech Intune, včetně registrace, dodržování předpisů, konfigurace, zařízení, klientských aplikací a dalších.

Další informace najdete v tématu Použití protokolů auditu ke sledování a monitorování událostí. Můžete zvolit, kam se mají protokoly auditu odesílat, jak je popsáno v tématu Odesílání protokolů do služby Azure Monitor (v tomto článku).

Vlastnosti protokolu auditu

V protokolu auditování najdete následující vlastnosti a jejich konkrétní hodnoty:

Vlastnost Popis vlastnosti Hodnoty
Typ aktivity Akce, kterou správce provede. Vytvoření, odstranění, oprava, akce, nastaveníference, odebráníference, získání, hledání
ActorType Osoba, která akci provede. Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser
Kategorie Podokno, ve kterém se akce proběhla. Jiné = 0, Registrace = 1, Dodržování předpisů = 2, Konfigurace zařízení = 3, Zařízení = 4, Aplikace = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20
Hodnota ActivityResult Zda je akce úspěšná nebo ne Úspěch = 1

Důležité informace o nákladech

Pokud už máte licenci Microsoft Intune, budete k nastavení účtu úložiště a služby Event Hubs potřebovat předplatné Azure. Předplatné Azure je obvykle bezplatné. Platíte ale za používání prostředků Azure, včetně účtu úložiště pro archivaci a služby Event Hubs pro streamování. Množství dat a náklady se liší v závislosti na velikosti tenanta.

Velikost úložiště pro protokoly aktivit

Každá událost protokolu auditu využívá přibližně 2 kB úložiště dat. V případě tenanta s 100 000 uživateli můžete mít přibližně 1,5 milionu událostí za den. Možná budete potřebovat přibližně 3 GB úložiště dat za den. Vzhledem k tomu, že zápisy obvykle probíhají v pětiminutových dávkách, můžete očekávat přibližně 9 000 operací zápisu za měsíc.

Následující tabulky ukazují odhad nákladů v závislosti na velikosti tenanta. Zahrnuje také účet úložiště pro obecné účely v2 v oblasti USA – západ po dobu nejméně jednoho roku uchovávání dat. Pokud chcete získat odhad objemu dat, který očekáváte pro své protokoly, použijte cenovou kalkulačku úložiště Azure.

Protokol auditu s 100 000 uživateli:

Kategorie Hodnota
Události za den 1,5 milionu
Odhadovaný objem dat za měsíc 90 GB
Odhadované náklady na měsíc (USD) 1,93 Kč
Odhadované náklady na rok (USD) 23,12 Kč

Protokol auditu s 1 000 uživateli:

Kategorie Hodnota
Události za den 15,000
Odhadovaný objem dat za měsíc 900 MB
Odhadované náklady na měsíc (USD) 0,02 Kč
Odhadované náklady na rok (USD) 0,24 Kč

Zprávy služby Event Hubs pro protokoly aktivit

Události se obvykle dávkují v pětiminutových intervalech a odesílají se jako jedna zpráva se všemi událostmi v daném časovém rámci. Zpráva ve službě Event Hubs má maximální velikost 256 kB. Pokud celková velikost všech zpráv v daném časovém rámci překročí tento svazek, odešle se více zpráv.

Například u velkého tenanta s více než 100 000 uživateli obvykle dochází k přibližně 18 událostem za sekundu. Tato hodnota odpovídá 5 400 událostem každých pět minut (300 sekund x 18 událostí). Protokoly auditu mají přibližně 2 kB na událost. Tato hodnota odpovídá 10,8 MB dat. Do služby Event Hubs se tedy v pětiminutových intervalech odešle 43 zpráv.

Následující tabulka obsahuje odhadované měsíční náklady na základní službu Event Hubs v oblasti USA – západ v závislosti na objemu dat událostí. Pokud chcete získat odhad objemu dat, který očekáváte pro své protokoly, použijte cenovou kalkulačku služby Event Hubs.

Protokol auditu s 100 000 uživateli:

Kategorie Hodnota
Události za sekundu 18
Události za pětiminutový interval 5,400
Svazek na interval 10,8 MB
Zprávy za interval 43
Zprávy za měsíc 371,520
Odhadované náklady na měsíc (USD) 10,83 Kč

Protokol auditu s 1 000 uživateli:

Kategorie Hodnota
Události za sekundu 0.1
Události za pětiminutový interval 52
Svazek na interval 104 kB
Zprávy za interval 1
Zprávy za měsíc 8,640
Odhadované náklady na měsíc (USD) 10,80 Kč

Důležité informace o nákladech na Log Analytics

Pokud chcete zkontrolovat náklady související se správou pracovního prostoru služby Log Analytics, přejděte do části Správa nákladů pomocí řízení objemu a uchovávání dat v Log Analytics.

Nejčastější dotazy

Získejte odpovědi na nejčastější dotazy, včetně doby latence, způsobu ovlivnění nákladů, podporovaných nástrojů SIEM a dalších.

Které protokoly jsou zahrnuté?

Pro směrování pomocí této funkce jsou k dispozici protokoly auditu Intune a provozní protokoly.

Kdy se po akci protokoly zobrazí ve službách Azure Monitoru?

Po akci:

  • Protokoly auditu Intune a provozní protokoly se odesílají okamžitě z Intune do služeb Azure Monitoru.
  • Data sestavy Intune Organizační protokoly dodržování předpisů zařízením a IntuneDevices se odesílají z Intune do služeb Azure Monitoru každých 24 hodin. Získání protokolů ve službách Azure Monitoru proto může trvat až 24 hodin.

Jakmile se data odešlou z Intune, obvykle se ve službě Azure Monitor zobrazí do 30 minut.

Co se stane, když správce změní dobu uchovávání nastavení diagnostiky?

Nové zásady uchovávání informací se použijí na protokoly shromážděné po změně. Protokoly shromážděné před změnou zásad nejsou ovlivněné.

Kolik stojí ukládání dat?

Náklady na úložiště závisí na velikosti protokolů a zvolené době uchovávání. Seznam odhadovaných nákladů na tenanty, které závisí na vygenerovaném svazku protokolů, najdete v tématu Velikost úložiště pro protokoly aktivit (v tomto článku).

Kolik stojí streamování dat do Azure Event Hubs?

Náklady na streamování závisí na počtu zpráv, které dostanete za minutu. Podrobnosti o výpočtu nákladů a odhadech nákladů na základě počtu zpráv najdete v tématu Zprávy služby Event Hubs pro protokoly aktivit (v tomto článku).

Návody integrovat protokoly auditu Intune se systémem SIEM?

Pomocí služby Azure Monitor se službou Event Hubs můžete streamovat protokoly do systému SIEM:

  1. Stream protokoly do služby Event Hubs.
  2. Nastavte si nástroj SIEM s nakonfigurovanou službou Event Hubs.

Jaké nástroje SIEM jsou aktuálně podporované?

V současné době nástroje Splunk, QRadar a Sumo Logic (otevře nový web) podporují Službu Azure Monitor. Další informace o tom, jak konektory fungují, najdete v tématu Stream monitorování dat Azure do služby Event Hubs, kde je může používat externí nástroj.

Můžu k datům přistupovat z Azure Event Hubs bez použití externího nástroje SIEM?

Ano. Pro přístup k protokolům z vlastní aplikace můžete použít rozhraní API služby Event Hubs.

Jaká data se ukládají?

Intune neukládá žádná data odeslaná prostřednictvím kanálu. Intune směruje data do kanálu služby Azure Monitor v autoritě tenanta. Další informace najdete v tématu Přehled služby Azure Monitor.