Senden Intune Protokolldaten an Azure Storage, Event Hubs oder Log Analytics
Microsoft Intune umfasst integrierte Protokolle, die Informationen zu Ihrer Umgebung bereitstellen:
- Überwachungsprotokolle zeigen einen Datensatz von Aktivitäten, die eine Änderung in Intune generieren (einschließlich Erstellen, Aktualisieren (Bearbeiten), Löschen, Zuweisen und Remoteaktionen).
- Betriebsprotokolle enthalten Details zu Benutzern und Geräten, die sich erfolgreich (oder nicht erfolgreich) registrieren konnten, sowie Details zu nicht kompatiblen Geräten.
- Organisationsprotokolle zur Gerätekonformität zeigen einen Organisationsbericht zur Gerätekonformität in Intune und Details zu nicht konformen Geräten an.
- IntuneDeviceszeigen Geräteinventur- und Statusinformationen für in Intune registrierte und verwaltete Geräte an.
Diese Protokolle können auch an Azure Monitor-Dienste gesendet werden, einschließlich Speicherkonten, Event Hubs und Log Analytics. Insbesondere bestehen die folgenden Möglichkeiten:
- Archivieren Sie Intune Protokolle in einem Azure Storage-Konto, um die Daten zu speichern, oder archivieren Sie sie für eine festgelegte Zeit.
- Stream Intune Protokolle an einem Azure Event Hubs für Analysen mithilfe gängiger SIEM-Tools (Security Information and Event Management) wie Splunk und QRadar.
- Integrieren Sie Intune Protokolle in Ihre eigenen benutzerdefinierten Protokolllösungen, indem Sie sie an Event Hubs streamen.
- Senden Sie Intune-Protokolle an Log Analytics, um ansprechende Visualisierungen, die Überwachung und Warnungen für die verbundenen Daten zu aktivieren.
Diese Funktionen sind Teil der Diagnoseeinstellungen in Intune.
In diesem Artikel erfahren Sie, wie Sie mithilfe der Diagnoseeinstellungen Protokolldaten an verschiedene Dienste senden, enthält Beispiele & Kostenschätzungen und beantwortet einige häufig gestellte Fragen. Nachdem Sie diese Funktion aktiviert haben, werden Ihre Protokolle an den von Ihnen gewählten Azure Monitor-Dienst weitergeleitet.
Hinweis
In diesen Protokollen werden Schemas verwendet, die sich ändern können. Um Feedback zu geben, einschließlich Informationen in den Protokollen, wechseln Sie zu Feedback für Intune.
Voraussetzungen
Für die Nutzung dieser Funktion benötigen Sie:
- Ein Azure-Abonnement, bei dem Sie sich anmelden können. Wenn Sie kein Azure-Abonnement besitzen, können Sie sich für eine kostenlose Testversion registrieren.
- Eine Microsoft Intune-Umgebung (Mandant)
- Ein Benutzer, der über die Rolle Intune-Dienstadministrator Microsoft Entra für den Intune Mandanten verfügt. Informationen zu dieser Rolle findest du unter Microsoft Entra integrierten Rollen – Intune Administrator.
- Um die Protokollsammlung von Azure Storage zu konfigurieren, benötigen Sie die Rolle Log Analytics Contributor im Log Analytics-Arbeitsbereich. Weitere Informationen zu den verschiedenen Rollen und deren Möglichkeiten finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.
Je nachdem, wohin Sie die Überwachungsprotokolldaten weiterleiten möchten, benötigen Sie einen der folgenden Dienste:
- Ein Azure-Speicherkonto mit den Berechtigungen ListKeys . Es wird empfohlen, dass Sie ein allgemeines Speicherkonto und kein Blob-Speicherkonto verwenden. Informationen zu den Speicherpreisen finden Sie im Azure Storage-Preisrechner.
- Ein Azure Event Hubs Namespace, der in Partnerlösungen von Drittanbietern integriert werden soll.
- Ein Azure Log Analytics-Arbeitsbereich zum Senden von Protokollen an Log Analytics.
Senden von Protokollen an Azure Monitor
Melden Sie sich beim Microsoft Intune Admin Center an.
Klicken Sie auf Berichte>Diagnoseeinstellungen. Aktivieren Sie diese Option beim ersten Öffnen. Fügen Sie andernfalls eine Einstellung hinzu.
Wenn Ihr Azure-Abonnement nicht angezeigt wird, wechseln Sie zur oberen rechten Ecke, und wählen Sie das Angemeldete Konto >verzeichnis wechseln aus. Möglicherweise müssen Sie das Azure-Abonnementkonto eingeben.
Geben Sie die folgenden Eigenschaften ein:
Name: Geben Sie einen Namen für die Diagnoseeinstellungen ein. Diese Einstellung enthält alle von Ihnen eingegebene Eigenschaften. Geben Sie beispielsweise
Route audit logs to storage accountein.Archivieren in einem Speicherkonto: Speichert die Protokolldaten in einem Azure Storage-Konto. Wenn Sie die Daten speichern oder archivieren möchten, wählen Sie diese Option aus.
- Wählen Sie diese Option >Konfigurieren aus.
- Wählen Sie ein vorhandenes Speicherkonto aus der Liste >OK aus.
Stream an einen Event Hub: Streamt die Protokolle an Azure Event Hubs. Wenn Sie Ihre Protokolldaten mithilfe von SIEM-Tools wie Splunk und QRadar analysieren möchten, wählen Sie diese Option aus.
- Wählen Sie diese Option >Konfigurieren aus.
- Wählen Sie einen vorhandenen Event Hubs-Namespace und eine Vorhandene Richtlinie aus der Liste >OK aus.
An Log Analytics senden: Sendet die Daten an Azure Log Analytics. Wenn Sie Visualisierungen, Überwachung und Warnungen für Ihre Protokolle verwenden möchten, wählen Sie diese Option aus.
Wählen Sie diese Option >Konfigurieren aus.
Erstellen Sie einen neuen Arbeitsbereich, und geben Sie die Details des Arbeitsbereichs ein. Oder wählen Sie einen vorhandenen Arbeitsbereich aus der Liste >OK aus.
Der Azure Log Analytics-Arbeitsbereich enthält weitere Details zu diesen Einstellungen.
LOG>AuditLogs: Wählen Sie diese Option aus, um die Intune Überwachungsprotokolle an Ihr Speicherkonto, Event Hubs oder Log Analytics zu senden. Die Überwachungsprotokolle zeigen den Verlauf aller Aufgaben, die eine Änderung in Intune bewirkt haben, z.B. wer die Änderung durchgeführt hat und wann diese erfolgt ist. Weitere Referenzinformationen finden Sie unter IntuneAuditLogs.
Wenn Sie sich für ein Speicherkonto entscheiden, geben Sie auch an, wie viele Tage Sie die Daten aufbewahren möchten (Vermerkdauer). Um Daten für immer zu behalten, setzen Sie Vermerkdauer (Tage) auf
0(Null) fest.LOG>Betriebsprotokolle: Betriebsprotokolle zeigen den Erfolg oder Fehler von Benutzern und Geräten an, die sich bei Intune registrieren, sowie Details zu nicht konformen Geräten. Wählen Sie diese Option aus, um die Registrierungsprotokolle an Ihr Speicherkonto, Event Hubs oder Log Analytics zu senden. Weitere Referenzinformationen finden Sie unter IntuneOperationalLogs.
Wenn Sie sich für ein Speicherkonto entscheiden, geben Sie auch an, wie viele Tage Sie die Daten aufbewahren möchten (Vermerkdauer). Um Daten für immer zu behalten, setzen Sie Vermerkdauer (Tage) auf
0(Null) fest.LOG>DeviceComplianceOrg: Gerätekonformitäts-Organisationsprotokolle zeigen den Organisationsbericht für die Gerätekonformität in Intune und Details zu nicht konformen Geräten an. Wählen Sie diese Option aus, um die Konformitätsprotokolle an Ihr Speicherkonto, Event Hubs oder Log Analytics zu senden. Weitere Referenzinformationen finden Sie unter IntuneDeviceComplianceOrg.
Wenn Sie sich für ein Speicherkonto entscheiden, geben Sie auch an, wie viele Tage Sie die Daten aufbewahren möchten (Vermerkdauer). Um Daten für immer zu behalten, setzen Sie Vermerkdauer (Tage) auf
0(Null) fest.PROTOKOLL>IntuneDevices: Im Intune-Geräteprotokoll werden Geräteinventur- und Statusinformationen für in Intune registrierte und verwaltete Geräte angezeigt. Wählen Sie diese Option aus, um die IntuneGeräteprotokolle an Ihr Speicherkonto, An Event Hubs oder Log Analytics zu senden. Weitere Referenzinformationen finden Sie unter IntuneDevices.
Wenn Sie sich für ein Speicherkonto entscheiden, geben Sie auch an, wie viele Tage Sie die Daten aufbewahren möchten (Vermerkdauer). Um Daten für immer zu behalten, setzen Sie Vermerkdauer (Tage) auf
0(Null) fest.
Wenn Sie fertig sind, sehen Ihre Einstellungen ähnlich aus wie die folgenden Einstellungen:
Speichern Sie die Änderungen. Ihre Einstellung wird in der Liste angezeigt. Nachdem die Einstellungen erstellt wurden, können Sie die Einstellungen ändern, indem Sie Einstellung> bearbeitenSpeichern auswählen.
Verwenden von Überwachungsprotokollen in allen Bereichen von Intune
Sie können auch die Überwachungsprotokolle exportieren, die in anderen Teilen von Intune verwendet werden, einschließlich Registrierung, Compliance, Konfiguration, Geräte, Client-Apps und mehr.
Weitere Informationen finden Sie unter Verwenden von Überwachungsprotokollen zum Nachverfolgen und Überwachen von Ereignissen. Sie können auswählen, wohin die Überwachungsprotokolle gesendet werden sollen. Dies ist in diesem Artikel unter Senden von Protokollen an Azure Monitor beschrieben.
Überwachungsprotokolleigenschaften
Im Überwachungsprotokoll finden Sie die folgenden Eigenschaften und ihre spezifischen Werte:
| Eigenschaft | Beschreibung der Eigenschaft | Werte |
|---|---|---|
| ActivityType | Die Aktion, die der Administrator ausführt | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Person, die die Aktion durchführt | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Kategorie | Der Bereich, in dem die Aktion stattgefunden hat. | Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess = 7, OnPremiseAccess = 8, Rolle = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20 |
| ActivityResult | Ob die Aktion erfolgreich ist oder nicht | Success = 1 |
Überlegungen zu den Kosten
Wenn Sie bereits über eine Microsoft Intune-Lizenz verfügen, benötigen Sie ein Azure-Abonnement, um das Speicherkonto und Event Hubs einzurichten. Das Azure-Abonnement ist in der Regel kostenlos. Sie zahlen jedoch für die Verwendung von Azure-Ressourcen, einschließlich des Speicherkontos für die Archivierung und Event Hubs für das Streaming. Die Menge an Daten und die Kosten hängen von der Größe des Mandanten ab.
Speichergröße für Aktivitätsprotokolle
Jedes Überwachungsprotokollereignis verbraucht ca. 2 KB Datenspeicher. Für einen Mandanten mit 100.000 Benutzern können Sie etwa 1,5 Millionen Ereignisse pro Tag haben. Möglicherweise benötigen Sie etwa 3 GB Datenspeicher pro Tag. Da Schreibvorgänge in der Regel in Fünf-Minuten-Batches erfolgen, können Sie mit ungefähr 9.000 Schreibvorgängen pro Monat rechnen.
Die folgenden Tabellen zeigen eine Kostenschätzung in Abhängigkeit von der Größe des Mandanten. Es enthält auch ein Universelles v2-Speicherkonto in den USA, Westen für mindestens ein Jahr Datenaufbewahrung. Um eine Schätzung für das Datenvolumen zu erhalten, das Sie für Ihre Protokolle erwarten, verwenden Sie den Azure Storage-Preisrechner.
Überwachungsprotokoll mit 100.000 Benutzern:
| Kategorie | Wert |
|---|---|
| Ereignisse pro Tag | 1,5 Millionen |
| Geschätzte Datenvolumen pro Monat | 90 GB |
| Geschätzte Kosten pro Monat (USD) | 1,93 US-Dollar |
| Geschätzte Kosten pro Jahr (USD) | 23,12 US-Dollar |
Überwachungsprotokoll mit 1.000 Benutzern:
| Kategorie | Wert |
|---|---|
| Ereignisse pro Tag | 15.000 |
| Geschätzte Datenvolumen pro Monat | 900 MB |
| Geschätzte Kosten pro Monat (USD) | 0,02 US-Dollar |
| Geschätzte Kosten pro Jahr (USD) | 0,24 US-Dollar |
Event Hubs-Nachrichten für Aktivitätsprotokolle
Ereignisse werden typischerweise in Fünf-Minuten-Intervallen zusammengefasst und als eine einzige Nachricht mit allen Ereignissen innerhalb dieses Zeitraums gesendet. Eine Nachricht in Event Hubs hat eine maximale Größe von 256 KB. Wenn die Gesamtgröße aller Nachrichten innerhalb des Zeitrahmens dieses Volumen überschreitet, werden mehrere Nachrichten gesendet.
Beispielsweise treten bei einem großen Mandanten mit mehr als 100.000 Benutzern typischerweise etwa 18 Ereignisse pro Sekunde auf. Dieser Wert entspricht 5.400 Ereignissen alle fünf Minuten (300 Sekunden x 18 Ereignisse). Überwachungsprotokolle haben eine Größe von ungefähr 2 KB pro Ereignis. Dieser Wert entspricht 10,8 MB Daten. In diesem Fünf-Minuten-Intervall werden also 43 Nachrichten an Event Hubs gesendet.
Die folgende Tabelle enthält die geschätzten Kosten pro Monat für einen grundlegenden Event Hubs in "USA, Westen", abhängig von der Menge der Ereignisdaten. Um eine Schätzung für das Datenvolumen zu erhalten, das Sie für Ihre Protokolle erwarten, verwenden Sie den Event Hub-Preisrechner.
Überwachungsprotokoll mit 100.000 Benutzern:
| Kategorie | Wert |
|---|---|
| Ereignisse pro Sekunde | 18 |
| Ereignisse pro Fünf-Minuten-Intervall | 5,400 |
| Volume pro Intervall | 10,8 MB |
| Nachrichten pro Intervall | 43 |
| Nachrichten pro Monat | 371.520 |
| Geschätzte Kosten pro Monat (USD) | 10,83 US-Dollar |
Überwachungsprotokoll mit 1.000 Benutzern:
| Kategorie | Wert |
|---|---|
| Ereignisse pro Sekunde | 0,1 |
| Ereignisse pro Fünf-Minuten-Intervall | 52 |
| Volume pro Intervall | 104 KB |
| Nachrichten pro Intervall | 1 |
| Nachrichten pro Monat | 8.640 |
| Geschätzte Kosten pro Monat (USD) | 10,80 US-Dollar |
Kostenüberlegungen zu Log Analytics
Um die Kosten im Zusammenhang mit der Verwaltung des Log Analytics-Arbeitsbereichs zu überprüfen, wechseln Sie zu Verwalten von Kosten durch Steuern des Datenvolumens und der Aufbewahrung in Log Analytics.
Häufig gestellte Fragen (FAQ)
Hier erhalten Sie Antworten auf häufig gestellte Fragen, z. B. Latenzzeiten, Auswirkungen auf Kosten, unterstützte SIEM-Tools und vieles mehr.
Welche Protokolle sind enthalten?
Die Intune Überwachungsprotokolle und Betriebsprotokolle stehen für das Routing mithilfe dieses Features zur Verfügung.
Wann werden die Protokolle nach einer Aktion in den Azure Monitor-Diensten angezeigt?
Nach der Aktion:
- Die Intune Überwachungsprotokolle und Betriebsprotokolle werden sofort von Intune an Azure Monitor-Dienste gesendet.
- Die Berichtsdaten Intune Organisationsprotokolle für Gerätekonformität und IntuneDevices werden einmal alle 24 Stunden von Intune an Azure Monitor-Dienste gesendet. Es kann also bis zu 24 Stunden dauern, bis die Protokolle in den Azure Monitor-Diensten abgerufen wurden.
Sobald die Daten von Intune gesendet wurden, werden sie in der Regel innerhalb von 30 Minuten im Azure Monitor-Dienst angezeigt.
Was geschieht, wenn ein Administrator den Aufbewahrungszeitraum einer Diagnoseeinstellung ändert?
Die neue Aufbewahrungsrichtlinie wird auf Protokolle angewendet, die nach der Änderung gesammelt wurden. Protokolle, die vor der Änderung der Richtlinie gesammelt wurden, sind davon nicht betroffen.
Wie viel kostet das Speichern meiner Daten?
Die Speicherkosten hängen von der Größe Ihrer Protokolle und dem gewählten Aufbewahrungszeitraum ab. Eine Liste der geschätzten Kosten für Mandanten, die vom generierten Protokollvolume abhängen, können Sie unter Speichergröße für Aktivitätsprotokolle (in diesem Artikel) abrufen.
Wie viel kostet das Streamen meiner Daten an Azure Event Hubs?
Die Streamingkosten richten sich nach der Anzahl der eingegangenen Nachrichten pro Minute. Ausführliche Informationen zur Kostenberechnung und Kostenschätzungen basierend auf der Anzahl von Nachrichten finden Sie unter Event Hubs-Nachrichten für Aktivitätsprotokolle (in diesem Artikel).
Wie integriere ich Intune-Überwachungsprotokolle in mein SIEM-System?
Verwenden Sie Azure Monitor mit Event Hubs, um Protokolle an Ihr SIEM-System zu streamen:
- Stream die Protokolle in Event Hubs.
- Richten Sie Ihr SIEM-Tool mit den konfigurierten Event Hubs ein.
Welche SIEM-Tools werden derzeit unterstützt?
Derzeit unterstützen Splunk, QRadar und Sumo Logic (öffnet eine neue Website) Azure Monitor. Weitere Informationen zur Funktionsweise der Connectors finden Sie unter Stream Azure-Überwachungsdaten für Event Hubs zur Nutzung durch ein externes Tool.
Kann ich von Azure Event Hubs aus auf die Daten zugreifen, ohne ein externes SIEM-Tool zu verwenden?
Ja. Um von Ihrer benutzerdefinierten Anwendung aus auf die Protokolle zuzugreifen, können Sie die Event Hubs-API verwenden.
Welche Daten werden gespeichert?
Intune speichert keine Daten, die über die Pipeline gesendet wurden. Intune leitet Daten im Auftrag des Mandanten an die Azure Monitor-Pipeline. Weitere Informationen findest du unter Übersicht über Azure Monitor.