Verwenden von Überwachungsprotokollen zum Nachverfolgen und Überwachen von Ereignissen in Microsoft Intune

In Microsoft Intune gibt es Überwachungsprotokolle, die einen Datensatz von Aktivitäten enthalten, die eine Änderung generieren. Beispielsweise erstellen die Aktionen Erstellen, Aktualisieren (Bearbeiten), Löschen, Zuweisen und Remoteüberwachungsereignisse.

Administratoren können die Überwachungsprotokolle überprüfen, um Ereignisse für die meisten Intune-Workloads nachzuverfolgen und zu überwachen. Die Überwachung ist für alle Kunden aktiviert. Sie kann nicht deaktiviert werden.

Wer kann auf die Daten zugreifen?

Benutzer mit den folgenden Berechtigungen können Überwachungsprotokolle überprüfen:

• Microsoft Entra-Rolle "Intune-Administrator"
• Administratoren, die einer Intune-Rollemit Leseberechtigungenfür Überwachungsdaten - zugewiesen sind. Eine Liste der integrierten Intune-Rollen, die über diese Berechtigung verfügen, finden Sie unter Integrierte Rollenberechtigungen für Microsoft Intune.

Anzeigen der Überwachungsprotokolle

Sie können Überwachungsprotokolle in der Überwachungsgruppe für jede Intune-Workload überprüfen, z. B. Compliance oder bedingter Zugriff.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Mandantenverwaltung>Überwachungsprotokolle aus.

3. Eine Liste der Protokolle wird angezeigt. Wählen Sie ein Protokoll aus der Liste aus, um die Aktivitätsdetails anzuzeigen.

4. Wenn viele Protokolle vorhanden sind, haben Sie folgende Möglichkeiten:

   1. Wählen Sie Datum aus, und geben Sie ein Start- und Enddatum ein. Dieser Datumsbereich kann Protokolle für den vorherigen Monat, die vorherige Woche oder den vorherigen Tag anzeigen.

      

   2. Wählen Sie Filter>hinzufügen Kategorie aus. Wählen Sie eine Kategorie aus der Liste aus, z. B. Kompatibilität, Gerät oder Rolle. Wählen Sie dann Übernehmen aus.

   3. Wählen Sie Filter> hinzufügenAktivität aus. Die verfügbaren Optionen hängen von der kategorie ab, die Sie auswählen. Wählen Sie dann Übernehmen aus.

      Wenn Sie z. B. die Kategorie Kompatibilität auswählen, sehen Die Optionen des Aktivitätsfilters in etwa wie in der folgenden Abbildung aus:

      

Weitere Informationen zu Überwachungsprotokollen findest du unter:

• Datenspeicherung und -verarbeitung in Intune
• Verwenden von Überwachungsprotokollen in allen Bereichen von Intune
• Überwachen, Exportieren oder Löschen personenbezogener Daten in Intune

Weiterleiten von Protokollen an Azure Monitor

Überwachungsprotokolle und Betriebsprotokolle können auch an Azure Monitor weitergeleitet werden. Wählen Sie im Intune Admin Center die Option Mandantenverwaltung>Überwachungsprotokolle>Exportieren aus:

Beim Exportieren wird eine .csv Datei erstellt und lokal gespeichert, möglicherweise in C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.

Wenn Sie sich die .csv Datei ansehen:

• Initiiert von (Akteur) enthält Informationen dazu, wer die Aufgabe ausgeführt hat und wo sie ausgeführt wurde.

  Wenn Sie beispielsweise die Aktivität in Intune im Azure-Portal ausführen, listet die Anwendung immer die Microsoft Intune-Portalerweiterung auf, und die Anwendungs-ID verwendet immer dieselbe GUID.

• Im Abschnitt Ziel(e) werden mehrere Ziele und die geänderten Eigenschaften aufgelistet.

Weitere Informationen zu diesem Feature, einschließlich der Voraussetzungen, finden Sie unter Senden von Protokolldaten an Speicher, Event Hubs oder Log Analytics.

Verwenden der Graph-API zum Abrufen von Überwachungsereignissen

Sie können auch die Graph-API verwenden, um Überwachungsereignisse für ein Jahr abzurufen. Weitere Informationen findest du unter Auflisten von auditEvents.

Verwandte Artikel

• Senden von Protokolldaten an Speicher, Event Hubs oder Log Analytics
• Überprüfen der Client-App-Schutzprotokolle