Verwenden von Überwachungsprotokollen zum Nachverfolgen und Überwachen von Ereignissen in Microsoft Intune

Überwachungsprotokolle enthalten einen Datensatz von Aktivitäten, die eine Änderung in Microsoft Intune generieren. Beim Erstellen, Aktualisieren (Bearbeiten), Löschen, Zuweisen und Remoteaktionen werden Überwachungsereignisse erstellt, die Administratoren für die meisten Intune-Workloads überprüfen können. Die Überwachung ist standardmäßig für alle Kunden aktiviert. Sie kann nicht deaktiviert werden.

Wer kann auf die Daten zugreifen?

Benutzer mit den folgenden Berechtigungen können Überwachungsprotokolle überprüfen:

  • Globaler Administrator
  • Intune-Dienstadministrator
  • Administratoren, die einer Intune-Rollemit Leseberechtigungenfür Überwachungsdaten - zugewiesen sind

Überwachungsprotokolle für Intune-Workloads

Sie können Überwachungsprotokolle in der Überwachungsgruppe für jede Intune-Workload überprüfen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Mandantenverwaltung>Überwachungsprotokolle aus.
  3. Um die Ergebnisse zu filtern, wählen Sie Filtern aus, und verfeinern Sie die Ergebnisse mithilfe der folgenden Optionen.
    • Kategorie: z. B . Compliance, Gerät und Rolle.
    • Aktivität: Die hier aufgeführten Optionen sind durch die unter Kategorie ausgewählte Option eingeschränkt.
    • Datumsbereich: Sie können Protokolle für den vorherigen Monat, die vorherige Woche oder den vorherigen Tag auswählen.
  4. Wählen Sie Anwenden aus.
  5. Wählen Sie ein Element in der Liste aus, um die Aktivitätsdetails anzuzeigen.

Weitere Informationen zu Überwachungsprotokollen finden Sie unter Zusätzliche Informationen.

Weiterleiten von Protokollen an Azure Monitor

Überwachungsprotokolle und Betriebsprotokolle können auch an Azure Monitor weitergeleitet werden. Wählen Sie unterMandantenverwaltungsüberwachungsprotokolle> die Option Exportieren aus:

Exportieren Sie Protokolldaten nach Azure Monitor, indem Sie dateneinstellungen exportieren in Microsoft Intune und Intune Admin Center auswählen.

Hinweis

  • Weitere Informationen zu diesem Feature und informationen zu den Voraussetzungen für die Verwendung finden Sie unter Senden von Protokolldaten an Speicher, Event Hubs oder Log Analytics.

  • Initiiert von (Akteur) enthält Informationen dazu, wer die Aufgabe ausgeführt hat und wo sie ausgeführt wurde.

    Wenn Sie beispielsweise die Aktivität in Intune im Azure-Portal ausführen, listet Application immerMicrosoft Intune Portalerweiterung auf, und die Anwendungs-ID verwendet immer dieselbe GUID.

  • Im Abschnitt Ziel(e) werden mehrere Ziele und die geänderten Eigenschaften aufgelistet.

Verwenden von Graph-API zum Abrufen von Überwachungsereignissen

Ausführliche Informationen zur Verwendung der Graph-API zum Abrufen von Überwachungsereignissen von bis zu einem Jahr finden Sie unter Auflisten von auditEvents.

Nächste Schritte

Weitere Informationen