Envoyer des données de journal Intune à Stockage Azure, Event Hubs ou Log Analytics
Microsoft Intune inclut des journaux intégrés qui fournissent des informations sur votre environnement :
- Les journaux d'audit présentent un enregistrement des activités qui génèrent un changement dans Intune, y compris la création, la mise à jour (modification), la suppression, l'attribution et les actions à distance.
- Les journaux opérationnels affichent des détails sur les utilisateurs et les appareils qui ont réussi (ou échoué) à s’inscrire, ainsi que des détails sur les appareils non conformes.
- Les journaux organisationnels de conformité des appareils affichent un rapport organisationnel sur la conformité des appareils dans Intune et des détails sur les appareils non conformes.
- IntuneDevices affiche les informations d’inventaire et d’état des appareils pour les appareils Intune inscrits et gérés.
Ces journaux peuvent également être envoyés aux services Azure Monitor, notamment aux comptes de stockage, Aux hubs d’événements et à Log Analytics. Concrètement, vous pouvez :
- Archivez les journaux Intune dans un compte de stockage Azure pour conserver les données, ou archivez-les pendant une durée définie.
- Diffusez en continu les journaux Intune vers un Azure Event Hubs pour l’analytique à l’aide d’outils SIEM (Security Information and Event Management) populaires, tels que Splunk et QRadar.
- Intégrez les journaux Intune à vos propres solutions de journal personnalisées en les diffusant en streaming vers Event Hubs.
- Envoyer les journaux Intune à Log Analytics pour bénéficier de visualisations enrichies et de fonctionnalités de supervision et d’alerte sur les données connectées.
Ces fonctionnalités font partie des paramètres de diagnostic dans Intune.
Cet article explique comment utiliser les paramètres de diagnostic pour envoyer des données de journal à différents services, fournit des exemples & estimations de coûts et répond à certaines questions courantes. Une fois que vous avez activé cette fonctionnalité, vos journaux sont acheminés vers le service Azure Monitor que vous choisissez.
Remarque
Ces journaux utilisent des schémas qui peuvent changer. Pour fournir des commentaires, notamment des informations dans les journaux, accédez à Commentaires pour Intune.
Prerequisites
Pour utiliser cette fonctionnalité, vous avez besoin de :
- Un abonnement Azure auquel vous pouvez vous connecter. Si vous n'avez pas d'abonnement Azure, vous pouvez vous inscrire pour bénéficier d’un essai gratuit.
- Un environnement Microsoft Intune (locataire)
- Un utilisateur qui est administrateur général ou administrateur de service Intune pour le locataire Intune.
- Pour configurer la collection de journaux à partir de Stockage Azure, vous avez besoin du rôle Contributeur Log Analytics dans l’espace de travail Log Analytics. Pour plus d’informations sur les différents rôles et ce qu’ils peuvent faire, consultez Gérer l’accès aux données de journal et aux espaces de travail dans Azure Monitor.
Selon l’endroit où vous souhaitez acheminer les données du journal d’audit, vous devez disposer de l’un des services suivants :
- Un compte de stockage Azure avec les autorisations ListKeys . Nous vous recommandons d’utiliser un compte de stockage général, et non un compte de stockage d’objets blob. Pour plus d’informations sur la tarification du stockage, accédez à la calculatrice de prix stockage Azure.
- Espace de noms Azure Event Hubs à intégrer à des solutions partenaires tierces.
- Un espace de travail Azure Log Analytics pour envoyer des journaux à Log Analytics.
Envoyer des journaux au moniteur Azure
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Rapports>Paramètres de diagnostic. La première fois que vous l'ouvrez, allumez-le. Sinon, ajoutez un paramètre.
Si votre abonnement Azure n’est pas affiché, accédez au coin supérieur droit, puis sélectionnez le répertoire Changer de compte > connecté. Vous devrez peut-être entrer le compte de l’abonnement Azure.
Entrez les propriétés suivantes :
Nom: entrez un nom pour les paramètres de diagnostic. Ce paramètre inclut toutes les propriétés que vous entrez. Par exemple, entrez
Route audit logs to storage account.Archiver dans un compte de stockage : enregistre les données de journal dans un compte stockage Azure. Si vous souhaitez enregistrer ou archiver les données, choisissez cette option.
- Sélectionnez cette option >Configurer.
- Choisissez un compte de stockage existant dans la liste >OK.
Diffuser en continu vers un hub d’événements : diffuse en continu les journaux vers Azure Event Hubs. Si vous souhaitez analyser vos données de journal à l’aide d’outils SIEM, tels que Splunk et QRadar, choisissez cette option.
- Sélectionnez cette option >Configurer.
- Choisissez un espace de noms et une stratégie Event Hubs existants dans la liste >OK.
Envoyer à Log Analytics : envoie les données à Azure Log Analytics. Si vous souhaitez utiliser des visualisations, une surveillance et des alertes pour vos journaux, choisissez cette option.
Sélectionnez cette option >Configurer.
Créez un espace de travail, puis entrez les détails de l’espace de travail. Vous pouvez également choisir un espace de travail existant dans la liste >OK.
L’espace de travail Azure Log Analytics fournit plus d’informations sur ces paramètres.
RAPPORT>AuditLogs : choisissez cette option pour envoyer les journaux d’audit Intune à votre compte de stockage, Event Hubs ou Log Analytics. Les journaux d'audit affichent l'historique de chaque tâche qui génère un changement dans Intune, y compris qui l'a fait et quand. Pour plus d’informations de référence, accédez à IntuneAuditLogs.
Si vous choisissez d’utiliser un compte de stockage, entrez également le nombre de jours pendant lesquels vous souhaitez conserver les données. Pour conserver les données pour toujours, définissez Rétention (jours) sur
0(zéro).RAPPORT>OperationalLogs : les journaux opérationnels indiquent la réussite ou l’échec des utilisateurs et des appareils qui s’inscrivent dans Intune, ainsi que des détails sur les appareils non conformes. Choisissez cette option pour envoyer les journaux d’inscription à votre compte de stockage, Event Hubs ou Log Analytics. Pour plus d’informations de référence, accédez àIntuneOperationalLogs.
Si vous choisissez d’utiliser un compte de stockage, entrez également le nombre de jours pendant lesquels vous souhaitez conserver les données. Pour conserver les données pour toujours, définissez Rétention (jours) sur
0(zéro).RAPPORT>DeviceComplianceOrg : les journaux organisationnels de conformité des appareils affichent le rapport organisationnel sur la conformité des appareils dans Intune, ainsi que les détails des appareils non conformes. Choisissez cette option pour envoyer les journaux de conformité à votre compte de stockage, Event Hubs ou Log Analytics. Pour plus d’informations de référence, accédez àIntuneDeviceComplianceOrg.
Si vous choisissez d’utiliser un compte de stockage, entrez également le nombre de jours pendant lesquels vous souhaitez conserver les données. Pour conserver les données pour toujours, définissez Rétention (jours) sur
0(zéro).JOURNAL>IntuneDevices : le journal des appareils Intune affiche les informations d’inventaire et d’état des appareils pour les appareils Intune inscrits et gérés. Choisissez cette option pour envoyer les journaux IntuneDevices à votre compte de stockage, Event Hubs ou Log Analytics. Pour plus d’informations de référence, accédez à IntuneDevices.
Si vous choisissez d’utiliser un compte de stockage, entrez également le nombre de jours pendant lesquels vous souhaitez conserver les données. Pour conserver les données pour toujours, définissez Rétention (jours) sur
0(zéro).
Une fois terminé, vos paramètres ressemblent aux paramètres suivants :
Enregistrez les changements apportés. Votre paramètre est affiché dans la liste. Une fois les paramètres créés, vous pouvez modifier les paramètres en sélectionnant Modifier le paramètre>Enregistrer.
Utiliser les journaux d’audit dans Intune
Vous pouvez également exporter les journaux d’audit utilisés dans d’autres parties d’Intune, notamment l’inscription, la conformité, la configuration, les appareils, les applications clientes, etc.
Pour plus d’informations, consultez Utiliser les journaux d’audit pour suivre et surveiller les événements. Vous pouvez choisir où envoyer les journaux d'audit, comme décrit dans envoyer les journaux au moniteur Azure (dans cet article).
Propriétés du journal d’audit
Dans le journal d’audit, vous pouvez trouver les propriétés suivantes et leurs valeurs spécifiques :
| Propriété | Description de la propriété | Values |
|---|---|---|
| ActivityType | Action effectuée par l’administrateur. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Personne effectuant l’action. | Inconnu = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Catégorie | Volet dans lequel l’action a eu lieu. | Autre = 0, Inscription = 1, Conformité = 2, DeviceConfiguration = 3, Appareil = 4, Application = 5, EBookManagement = 6, ConditionalAccess = 7, OnPremiseAccess = 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Si l’action réussit ou non | Action réussie = 1 |
Considérations relatives aux coûts
Si vous disposez déjà d’une licence Microsoft Intune, vous avez besoin d’un abonnement Azure pour configurer le compte de stockage et Event Hubs. L’abonnement Azure est généralement gratuit. Toutefois, vous payez pour utiliser des ressources Azure, notamment le compte de stockage pour l’archivage et Event Hubs pour le streaming. La quantité de données et les coûts varient en fonction de la taille du locataire.
Taille de stockage pour les journaux d’activité
Chaque événement du journal d’audit utilise environ 2 Ko de stockage de données. Pour un locataire avec 100 000 utilisateurs, vous pouvez avoir environ 1,5 million d’événements par jour. Vous aurez peut-être besoin d’environ 3 Go de stockage de données par jour. Étant donné que les écritures se produisent généralement par lots de cinq minutes, vous pouvez vous attendre à environ 9 000 opérations d’écriture par mois.
Les tableaux suivants présentent une estimation des coûts en fonction de la taille du locataire. Il inclut également un compte de stockage v2 à usage général dans la région USA Ouest pour au moins un an de conservation des données. Pour obtenir une estimation du volume de données attendu pour vos journaux, utilisez le calculateur de prix du stockage Azure.
Journal d’audit avec 100 000 utilisateurs :
| Catégorie | Valeur |
|---|---|
| Événements par jour | 1,5 million |
| Estimation du volume de données par mois | 90 Go |
| Estimation du coût par mois (USD) | 1,93 $ |
| Estimation du coût par an (USD) | 23,12 $ |
Journal d’audit avec 1 000 utilisateurs :
| Catégorie | Valeur |
|---|---|
| Événements par jour | 15 000 |
| Estimation du volume de données par mois | 900 Mo |
| Estimation du coût par mois (USD) | 0,02 $ |
| Estimation du coût par an (USD) | 0,24 $ |
Messages Event Hubs pour les journaux d’activité
Les événements sont généralement mis en lot par intervalles de cinq minutes, puis envoyés sous forme d’un message unique contenant tous les événements de cette période. Un message dans Event Hubs a une taille maximale de 256 Ko. Si la taille totale de tous les messages dans la période dépasse ce volume, plusieurs messages sont alors envoyés.
Par exemple, environ 18 événements par seconde se produisent généralement pour un grand locataire de plus de 100 000 utilisateurs. Cette valeur équivaut à 5 400 événements toutes les cinq minutes (300 secondes x 18 événements). Les journaux d’audit font environ 2 Ko par événement. Cette valeur équivaut à 10,8 Mo de données. Ainsi, 43 messages sont envoyés à Event Hubs dans cet intervalle de cinq minutes.
Le tableau suivant contient les coûts estimés par mois pour un Event Hubs de base dans la région USA Ouest, en fonction du volume de données d’événement. Pour obtenir une estimation du volume de données attendu pour vos journaux, utilisez le calculateur de prix Event Hubs.
Journal d’audit avec 100 000 utilisateurs :
| Catégorie | Valeur |
|---|---|
| Événements par seconde | 18 |
| Événements par intervalle de cinq minutes | 5 400 |
| Volume par intervalle | 10,8 Mo |
| Messages par intervalle | 43 |
| Messages par mois | 371 520 |
| Estimation du coût par mois (USD) | 10,83 $ |
Journal d’audit avec 1 000 utilisateurs :
| Catégorie | Valeur |
|---|---|
| Événements par seconde | 0,1 |
| Événements par intervalle de cinq minutes | 52 |
| Volume par intervalle | 104 Ko |
| Messages par intervalle | 1 |
| Messages par mois | 8 640 |
| Estimation du coût par mois (USD) | 10,80 $ |
Considérations relatives aux coûts de Log Analytics
Pour passer en revue les coûts liés à la gestion de l’espace de travail Log Analytics, accédez à Gérer les coûts en contrôlant le volume et la conservation des données dans Log Analytics.
Forum aux questions (FAQ)
Obtenez des réponses aux questions fréquemment posées, notamment les temps de latence, la façon dont les coûts sont affectés, les outils SIEM pris en charge, etc.
Quels journaux sont inclus ?
Les journaux d’audit Intune et les journaux opérationnels sont disponibles pour le routage à l’aide de cette fonctionnalité.
Après une action, quand les journaux s’affichent-ils dans les services Azure Monitor ?
Après l’action :
- Les journaux d’audit Intune et les journaux opérationnels sont envoyés immédiatement d’Intune aux services Azure Monitor.
- Les données de rapport Intune Device Compliance Organizational Logs and IntuneDevices sont envoyées d’Intune aux services Azure Monitor une fois toutes les 24 heures.
Une fois les données envoyées à partir d’Intune, elles s’affichent généralement dans le service Azure Monitor dans les 30 minutes.
Que se passe-t-il si un administrateur modifie la période de rétention d’un paramètre de diagnostic ?
La nouvelle stratégie de conservation est appliquée aux journaux collectés après le changement. Les journaux collectés avant le changement de stratégie ne sont pas affectés.
Combien coûte le stockage de mes données ?
Les coûts de stockage dépendent de la taille de vos journaux et de la période de conservation que vous choisissez. Pour obtenir la liste des coûts estimés pour les locataires, qui dépendent du volume de journaux généré, accédez à Taille de stockage pour les journaux d’activité (dans cet article).
Combien coûte le streaming de mes données vers Azure Event Hubs ?
Les coûts de streaming varient en fonction du nombre de messages reçus par minute. Pour plus d’informations sur la façon dont les coûts sont calculés et les estimations des coûts en fonction du nombre de messages, accédez à Messages Event Hubs pour les journaux d’activité (dans cet article).
Comment intégrer les journaux d’audit Intune à mon système SIEM ?
Utilisez Azure Monitor avec Event Hubs pour diffuser en continu les journaux vers votre système SIEM :
- Diffusez les journaux vers Event Hubs.
- Configurez votre outil SIEM avec les hubs d’événements configurés.
Quels sont les outils SIEM actuellement pris en charge ?
Actuellement, Splunk, QRadar et Sumo Logic (ouvre un nouveau site web) prennent en charge Azure Monitor. Pour plus d’informations sur le fonctionnement des connecteurs, accédez à Diffuser en continu des données de supervision Azure vers Event Hubs pour les consommer par un outil externe.
Puis-je accéder aux données à partir de Azure Event Hubs sans utiliser d’outil SIEM externe ?
Oui. Pour accéder aux journaux à partir de votre application personnalisée, vous pouvez utiliser l’API Event Hubs.
Quelles données sont stockées ?
Intune ne stocke aucune donnée envoyée par le biais du pipeline. Intune achemine les données au pipeline Azure Monitor, sous l’autorité du locataire. Pour plus d’informations, consultez Vue d’ensemble d’Azure Monitor.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour