Teilen über


Verwenden von Überwachungsprotokollen zum Nachverfolgen und Überwachen von Ereignissen in Microsoft Intune

In Microsoft Intune gibt es Überwachungsprotokolle, die einen Datensatz von Aktivitäten enthalten, die eine Änderung generieren. Beispielsweise erstellen die Aktionen Erstellen, Aktualisieren (Bearbeiten), Löschen, Zuweisen und Remoteüberwachungsereignisse.

Administratoren können die Überwachungsprotokolle überprüfen, um Ereignisse für die meisten Intune-Workloads nachzuverfolgen und zu überwachen. Die Überwachung ist für alle Kunden aktiviert. Sie kann nicht deaktiviert werden.

Wer kann auf die Daten zugreifen?

Benutzer mit den folgenden Berechtigungen können Überwachungsprotokolle überprüfen:

Anzeigen der Überwachungsprotokolle

Sie können Überwachungsprotokolle in der Überwachungsgruppe für jede Intune-Workload überprüfen, z. B. Compliance oder bedingter Zugriff.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Mandantenverwaltung>Überwachungsprotokolle aus.

  3. Eine Liste der Protokolle wird angezeigt. Wählen Sie ein Protokoll aus der Liste aus, um die Aktivitätsdetails anzuzeigen.

  4. Wenn viele Protokolle vorhanden sind, haben Sie folgende Möglichkeiten:

    1. Wählen Sie Datum aus, und geben Sie ein Start- und Enddatum ein. Dieser Datumsbereich kann Protokolle für den vorherigen Monat, die vorherige Woche oder den vorherigen Tag anzeigen.

      Filtern Sie Überwachungsprotokolle nach Datum in Microsoft Intune und Intune Admin Center.

    2. Wählen Sie Filter>hinzufügen Kategorie aus. Wählen Sie eine Kategorie aus der Liste aus, z. B. Kompatibilität, Gerät oder Rolle. Wählen Sie dann Übernehmen aus.

    3. Wählen Sie Filter> hinzufügenAktivität aus. Die verfügbaren Optionen hängen von der kategorie ab, die Sie auswählen. Wählen Sie dann Übernehmen aus.

      Wenn Sie z. B. die Kategorie Kompatibilität auswählen, sehen Die Optionen des Aktivitätsfilters in etwa wie in der folgenden Abbildung aus:

      Filtern Sie Überwachungsprotokolle nach Konformitätskategorie, und wählen Sie eine Aktivität in Microsoft Intune und Intune Admin Center aus.

Weitere Informationen zu Überwachungsprotokollen findest du unter:

Weiterleiten von Protokollen an Azure Monitor

Überwachungsprotokolle und Betriebsprotokolle können auch an Azure Monitor weitergeleitet werden. Wählen Sie im Intune Admin Center die Option Mandantenverwaltung>Überwachungsprotokolle>Exportieren aus:

Exportieren Sie Protokolldaten nach Azure Monitor, indem Sie dateneinstellungen exportieren in Microsoft Intune und Intune Admin Center auswählen.

Beim Exportieren wird eine .csv Datei erstellt und lokal gespeichert, möglicherweise in C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.

Wenn Sie sich die .csv Datei ansehen:

  • Initiiert von (Akteur) enthält Informationen dazu, wer die Aufgabe ausgeführt hat und wo sie ausgeführt wurde.

    Wenn Sie beispielsweise die Aktivität in Intune im Azure-Portal ausführen, listet die Anwendung immer die Microsoft Intune-Portalerweiterung auf, und die Anwendungs-ID verwendet immer dieselbe GUID.

  • Im Abschnitt Ziel(e) werden mehrere Ziele und die geänderten Eigenschaften aufgelistet.

Weitere Informationen zu diesem Feature, einschließlich der Voraussetzungen, finden Sie unter Senden von Protokolldaten an Speicher, Event Hubs oder Log Analytics.

Verwenden der Graph-API zum Abrufen von Überwachungsereignissen

Sie können auch die Graph-API verwenden, um Überwachungsereignisse für ein Jahr abzurufen. Weitere Informationen findest du unter Auflisten von auditEvents.