Abrufen Windows 365 Überwachungsprotokolle
Überwachungsprotokolle für Windows 365 erfassen Aktivitäten, die zu einer Änderung auf einem Cloud-PC führen. Bei Vorgängen zum Erstellen, Aktualisieren (Bearbeiten), Löschen und Zuweisen sowie Remoteaktionen werden Überwachungsereignisse erstellt, die Administratoren für die meisten Cloud-PC-Aktionen, die über Graph erfolgen, überprüfen können. Die Überwachung ist standardmäßig für alle Kunden aktiviert. Sie kann nicht deaktiviert werden.
Wer kann auf die Daten zugreifen?
Benutzer mit den folgenden Berechtigungen können Überwachungsprotokolle überprüfen:
- Globaler Administrator
- Intune-Dienstadministrator
- Administratoren, denen eine Intune-Rolle mit der Berechtigung Audit data - Read (Überwachungsdaten – Lesen) zugewiesen wurde
Senden Windows 365 Überwachungsprotokolle an Diagnoseeinstellungen in Azure Monitor
Mit den Diagnoseeinstellungen von Azure Monitor können Sie Plattformprotokolle und Metriken an das Ziel Ihrer Wahl exportieren. Sie können bis zu fünf verschiedene Diagnoseeinstellungen erstellen, um verschiedene Protokolle und Metriken an unabhängige Ziele zu senden. Weitere Informationen finden Sie unter Diagnoseeinstellungen in Azure Monitor.
So erstellen Sie eine Diagnoseeinstellung zum Senden von Protokollen
- Stellen Sie sicher, dass Sie über ein Azure-Konto verfügen.
- Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Diagnoseeinstellungen für Berichte> (unter Azure Monitor)>Diagnoseeinstellungen hinzufügen aus.
- Wählen Sie unter Protokolle die Option Windows365AuditLogs aus.
- Wählen Sie unter Zieldetails das Ziel aus, und geben Sie Details an.
- Klicken Sie auf Speichern.
Verwenden der Graph-API und von PowerShell zum Abrufen von Überwachungsereignissen
Führen Sie die folgenden Schritte aus, um Überwachungsprotokollereignisse für Ihren Windows 365 Mandanten abzurufen:
Das SDK installieren
- Führen Sie in PowerShell den folgenden Befehl aus:
Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
. - Überprüfen Sie die Installation, indem Sie den folgenden Befehl ausführen:
Get-InstalledModule Microsoft.Graph.Beta
. - Führen Sie den folgenden Befehl aus, um alle Graph-Endpunkte von Cloud-PCs abzurufen:
Get-Command -Module Microsoft.Graph* *virtualEndpoint*
.
Anmelden
- Führen Sie einen der beiden folgenden Befehle aus:
Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
Connect-MgGraph -Scopes "CloudPC.Read.All"
- Melden Sie sich auf der daraufhin angezeigten Webseite mit einem Benutzerkonto bei Ihrem Mandanten an, das über die erforderlichen Lese- und/oder Schreibberechtigungen verfügt.
- Wechseln Sie mit dem folgenden Befehl zur Graph-Betaumgebung:
Select-MgProfile -Name "beta"
.
Abrufen von Überwachungsdaten
Für das Anzeigen von Überwachungsdaten stehen Ihnen verschiedene Möglichkeiten zur Verfügung.
Abrufen der gesamten Liste der Überwachungsereignisse, einschließlich des Überwachungsakteurs
Verwenden Sie den folgenden Befehl, um die gesamte Liste der Überwachungsereignisse einschließlich des Akteurs (Person, welche die Aktion ausgeführt hat) abzurufen:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult
Abrufen einer Liste von Überwachungsereignissen
Verwenden Sie den folgenden Befehl, um eine Liste der Überwachungsereignisse ohne den Überwachungsakteur abzurufen:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent
Verwenden Sie den Parameter -All, um alle Ereignisse abzurufen: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All
.
Verwenden Sie die folgenden Parameter, um nur die Top-N-Ereignisse abzurufen: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}
.
Abrufen eines einzelnen Ereignisses über die Ereignis-ID
Sie können den folgenden Befehl verwenden, um ein einzelnes Überwachungsereignis abzurufen. Sie müssen dabei die {event ID} angeben: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für