Intune-naplóadatok küldése az Azure Storage-ba, az Event Hubsba vagy a Log Analyticsbe
Microsoft Intune beépített naplókat tartalmaz, amelyek információt nyújtanak a környezetről:
- Az auditnaplók olyan tevékenységek rekordjait jelenítik meg, amelyek változást hoznak létre az Intune-ban, beleértve a létrehozási, frissítési (szerkesztési), törlési, hozzárendelési és távoli műveleteket.
- Az operatív naplók a sikeres (vagy sikertelen) regisztrációval rendelkező felhasználók és eszközök adatait, valamint a nem megfelelő eszközök adatait jelenítik meg.
- Az eszközmegfelelés szervezeti naplói egy szervezeti jelentést mutatnak az Intune-beli eszközmegfelelésről, valamint a nem megfelelő eszközökre vonatkozó részleteket.
- Az IntuneEszközeszközök eszközleltár- és állapotinformációit jeleníti meg az Intune-ban regisztrált és felügyelt eszközökhöz.
Ezek a naplók az Azure Monitor-szolgáltatásokba is elküldhetők, beleértve a tárfiókokat, az Event Hubsot és a Log Analyticset. Konkrétan a következőt teheti:
- Archiválhatja az Intune-naplókat egy Azure Storage-fiókba az adatok meghatározott ideig való megőrzéséhez vagy archiválásához.
- Streamelje az Intune-naplókat egy Azure Event Hubs elemzéshez olyan népszerű biztonsági információ- és eseménykezelési (SIEM) eszközökkel, mint a Splunk és a QRadar.
- Integrálhatja az Intune-naplókat a saját egyéni naplómegoldásaival, ha streameli őket az Event Hubsba.
- Intune-naplókat küldhet a Log Analyticsnek, így gazdag vizualizációkat, monitorozást és riasztásokat jeleníthet meg a csatlakoztatott adatokon.
Ezek a funkciók az Intune diagnosztikai beállításainak részét képezik.
Ez a cikk bemutatja, hogyan használhatja a Diagnosztikai beállításokat a naplóadatok különböző szolgáltatásokba való küldéséhez, példákat & költségbecslésekre, és választ ad néhány gyakori kérdésre. A funkció engedélyezése után a rendszer a naplókat a kiválasztott Azure Monitor-szolgáltatáshoz irányítja.
Megjegyzés:
Ezek a naplók módosítható sémákat használnak. Ha visszajelzést szeretne küldeni, beleértve a naplókban szereplő információkat is, nyissa meg a Visszajelzés az Intune-hoz című témakört.
Előfeltételek
A funkció használatához a következőkre van szüksége:
- Egy Azure-előfizetés, amellyel bejelentkezhet. Ha nem rendelkezik Azure-előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- Egy Microsoft Intune-környezet (bérlő)
- Az Intune-bérlő globális rendszergazdája vagy Intune-szolgáltatásadminisztrátora .
- A naplógyűjtés Azure Storage-ból való konfigurálásához a Log Analytics-közreműködő szerepkörre van szükség a Log Analytics-munkaterületen. A különböző szerepkörökről és azok teljesítményéről további információt a Naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban című témakörben talál.
Attól függően, hogy hová szeretné irányítani az auditnapló adatait, az alábbi szolgáltatások egyikére van szüksége:
- Egy ListKeys engedélyekkel rendelkező Azure Storage-fiók. Javasoljuk, hogy ne blob storage-fiókot, hanem általános tárfiókot használjon. A tárolási díjszabással kapcsolatos információkért tekintse meg az Azure Storage díjkalkulátorát.
- Egy Azure Event Hubs névtér, amely külső partnermegoldásokkal integrálható.
- Egy Azure Log Analytics-munkaterület , amely naplókat küld a Log Analyticsnek.
Naplók küldése az Azure Monitorba
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza a Jelentések>diagnosztikai beállításai lehetőséget. Amikor először nyitja meg, kapcsolja be. Ellenkező esetben adjon meg egy beállítást.
Ha az Azure-előfizetése nem jelenik meg, lépjen a jobb felső sarokba, és válassza ki a bejelentkezett fiók >kapcsolókönyvtárát. Előfordulhat, hogy meg kell adnia az Azure-előfizetési fiókot.
Adja meg a következő tulajdonságokat:
Név: Adja meg a diagnosztikai beállítások nevét. Ez a beállítás tartalmazza az összes megadott tulajdonságot. Írja be például a következőt:
Route audit logs to storage account.Archiválás tárfiókba: A naplóadatokat egy Azure Storage-fiókba menti. Ha menteni vagy archiválni szeretné az adatokat, válassza ezt a lehetőséget.
- Válassza ezt a Konfigurálás lehetőséget>.
- Válasszon ki egy meglévő tárfiókot az OK listában>.
Streamelés egy eseményközpontba: Streameli a naplókat a Azure Event Hubs. Ha SIEM-eszközök, például a Splunk és a QRadar használatával szeretne elemzést végezni a naplóadatokon, válassza ezt a lehetőséget.
- Válassza ezt a Konfigurálás lehetőséget>.
- Válasszon ki egy meglévő Event Hubs-névteret és -szabályzatot az OK listában>.
Küldés a Log Analyticsnek: Elküldi az adatokat az Azure Log Analyticsnek. Ha vizualizációkat, monitorozást és riasztásokat szeretne használni a naplókhoz, válassza ezt a lehetőséget.
Válassza ezt a Konfigurálás lehetőséget>.
Hozzon létre egy új munkaterületet, és adja meg a munkaterület adatait. Vagy válasszon egy meglévő munkaterületet az OK listában>.
Az Azure Log Analytics-munkaterület további részleteket tartalmaz ezekről a beállításokról.
NAPLÓ>Naplók: Ezt a lehetőséget választva elküldheti az Intune-naplókat a tárfiókjába, az Event Hubsba vagy a Log Analyticsbe. Az auditnaplók minden olyan feladat előzményeit mutatják, amelyek változást hoznak létre az Intune-ban, beleértve azt is, hogy ki és mikor végezte el. További információt az IntuneAuditLogs című témakörben talál.
Ha tárfiók használata mellett dönt, adja meg azt is, hogy hány napig szeretné megőrizni az adatokat (megőrzés). Az adatok megőrzéséhez állítsa a Megőrzés (nap) értékét (nulla) értékre
0.NAPLÓ>OperationalLogs: Az operatív naplók az Intune-ban regisztrált felhasználók és eszközök sikerességét vagy sikertelenségét, valamint a nem megfelelő eszközök részleteit mutatják. Ezt a lehetőséget választva elküldheti a regisztrációs naplókat a tárfiókba, az Event Hubsba vagy a Log Analyticsbe. További információ: IntuneOperationalLogs.
Ha tárfiók használata mellett dönt, adja meg azt is, hogy hány napig szeretné megőrizni az adatokat (megőrzés). Az adatok megőrzéséhez állítsa a Megőrzés (nap) értékét (nulla) értékre
0.NAPLÓ>DeviceComplianceOrg: Az eszközmegfelelőségi szervezeti naplók megjelenítik az Intune-beli eszközmegfelelőségi szervezeti jelentést, valamint a nem megfelelő eszközök részleteit. Ezt a lehetőséget választva elküldheti a megfelelőségi naplókat a tárfiókba, az Event Hubsba vagy a Log Analyticsbe. További információkért tekintse meg az IntuneDeviceComplianceOrg című témakört.
Ha tárfiók használata mellett dönt, adja meg azt is, hogy hány napig szeretné megőrizni az adatokat (megőrzés). Az adatok megőrzéséhez állítsa a Megőrzés (nap) értékét (nulla) értékre
0.NAPLÓ>IntuneDevices: Az Intune-eszköznapló az Intune-ban regisztrált és felügyelt eszközök eszközleltárát és állapotinformációit jeleníti meg. Ezt a lehetőséget választva elküldheti az IntuneDevices-naplókat a tárfiókjába, az Event Hubsba vagy a Log Analyticsbe. További információkért tekintse meg az IntuneDevices című témakört.
Ha tárfiók használata mellett dönt, adja meg azt is, hogy hány napig szeretné megőrizni az adatokat (megőrzés). Az adatok megőrzéséhez állítsa a Megőrzés (nap) értékét (nulla) értékre
0.
Ha végzett, a beállítások az alábbi beállításokhoz hasonlóan néznek ki:
Mentse a változtatásokat. A beállítás megjelenik a listában. A beállítások létrehozása után a Beállítások szerkesztése>Mentés lehetőséget választva módosíthatja a beállításokat.
Auditnaplók használata az Intune-ban
Az Intune más részeiben használt auditnaplókat is exportálhatja, beleértve a regisztrációt, a megfelelőséget, a konfigurációt, az eszközöket, az ügyfélalkalmazásokat és egyebeket.
További információt az Események nyomon követése és figyelése auditnaplók használatával című témakörben talál. A naplók Azure Monitorba való küldéséhez (ebben a cikkben) leírtak szerint kiválaszthatja, hogy hová szeretné küldeni az auditnaplókat.
Auditnapló tulajdonságai
Az auditnaplóban a következő tulajdonságokat és azok konkrét értékeit találja:
| Tulajdonság | Tulajdonság leírása | Értékek |
|---|---|---|
| ActivityType | A rendszergazda által végrehajtandó művelet. | Létrehozás, Törlés, Javítás, Művelet, SetReference, RemoveReference, Get, Search |
| Aktortípus | A műveletet kezdeményező személy. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Kategória | Az a panel, amelyen a művelet végbe ment. | Egyéb = 0, Regisztráció = 1, Megfelelőség = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | A művelet sikeres-e vagy sem | Sikeresség = 1 |
Költségekkel kapcsolatos szempontok
Ha már rendelkezik Microsoft Intune licenccel, szüksége lesz egy Azure-előfizetésre a tárfiók és az Event Hubs beállításához. Az Azure-előfizetés általában ingyenes. Azonban fizetnie kell azért, hogy Azure-erőforrásokat használjon, beleértve az archiváláshoz használt tárfiókot és az Event Hubsot a streameléshez. Az adatok mennyisége és a költségek a bérlő méretétől függően változnak.
Tárterület mérete tevékenységnaplókhoz
Minden auditnapló-esemény körülbelül 2 KB adattárolást használ. A 100 000 felhasználóval rendelkező bérlők esetében naponta körülbelül 1,5 millió eseményt lehet szervezni. Naponta körülbelül 3 GB adattárolásra lehet szükség. Mivel az írások általában ötperces kötegekben történnek, havonta körülbelül 9000 írási műveletre számíthat.
Az alábbi táblázatok a bérlő méretétől függően egy költségbecslést mutatnak be. Emellett tartalmaz egy általános célú v2-tárfiókot is az USA nyugati régiójában legalább egy évnyi adatmegőrzéshez. A naplókhoz várt adatmennyiség becsléséhez használja az Azure Storage díjkalkulátorát.
Auditnapló 100 000 felhasználóval:
| Kategória | Érték |
|---|---|
| Események naponta | 1,5 millió |
| Becsült adatmennyiség havonta | 90 GB |
| Becsült költség havonta (USD) | 1,93 USD |
| Becsült költség évente (USD) | 23,12 USD |
Auditnapló 1000 felhasználóval:
| Kategória | Érték |
|---|---|
| Események naponta | 15,000 |
| Becsült adatmennyiség havonta | 900 MB |
| Becsült költség havonta (USD) | 0,02 USD |
| Becsült költség évente (USD) | 0,24 USD |
Event Hubs-üzenetek tevékenységnaplókhoz
Az eseményeket általában ötperces időközönként kötegelik, és egyetlen üzenetként küldik el az adott időkereten belüli összes eseménysel együtt. Az Event Hubs-üzenetek maximális mérete 256 KB. Ha az időkereten belül az összes üzenet teljes mérete meghaladja ezt a kötetet, akkor a rendszer több üzenetet küld.
Például körülbelül másodpercenként körülbelül 18 esemény történik egy több mint 100 000 felhasználót használó nagy bérlő esetén. Ez az érték öt percenként 5400 eseménynek felel meg (300 másodperc x 18 esemény). Az auditnaplók eseményenként körülbelül 2 KB-ot jelentenek. Ez az érték 10,8 MB adatnak felel meg. Így 43 üzenet lesz elküldve az Event Hubsnak ebben az öt perces időközben.
Az alábbi táblázat az USA nyugati régiójában található alapszintű Event Hubs becsült havi költségeit tartalmazza az eseményadatok mennyiségétől függően. A naplókhoz várt adatmennyiség becsléséhez használja az Event Hubs díjkalkulátorát.
Auditnapló 100 000 felhasználóval:
| Kategória | Érték |
|---|---|
| Másodpercenkénti események | 18 |
| Események ötperces időközönként | 5,400 |
| Kötet intervallumonként | 10,8 MB |
| Üzenetek intervallumonként | 43 |
| Üzenetek havonta | 371,520 |
| Becsült költség havonta (USD) | 10,83 USD |
Auditnapló 1000 felhasználóval:
| Kategória | Érték |
|---|---|
| Másodpercenkénti események | 0.1 |
| Események ötperces időközönként | 52 |
| Kötet intervallumonként | 104 KB |
| Üzenetek intervallumonként | 1 |
| Üzenetek havonta | 8,640 |
| Becsült költség havonta (USD) | 10,80 USD |
A Log Analytics költségekkel kapcsolatos szempontjai
A Log Analytics-munkaterület kezelésével kapcsolatos költségek áttekintéséhez tekintse át a Költségek kezelése az adatmennyiség és -megőrzés Log Analyticsben való szabályozásával című témakört.
Gyakori kérdések (GYIK)
Választ kaphat a gyakori kérdésekre, többek között a késési időkre, a költségekre, a támogatott SIEM-eszközökre és egyebekre.
Mely naplókat tartalmazza a rendszer?
Az Intune auditnaplói és működési naplói ezzel a funkcióval érhetők el útválasztáshoz.
Egy művelet után mikor jelennek meg a naplók az Azure Monitor-szolgáltatásokban?
A művelet után:
- Az Intune auditnaplóit és az operatív naplókat a rendszer azonnal elküldi az Intune-ból az Azure Monitor-szolgáltatásoknak.
- Az Intune Device Compliance szervezeti naplói és az IntuneDevices jelentés adatai 24 óránként egyszer lesznek elküldve az Intune-ból az Azure Monitor-szolgáltatásoknak.
Miután az adatokat elküldte az Intune-ból, az általában 30 percen belül megjelenik az Azure Monitor szolgáltatásban.
Mi történik, ha egy rendszergazda módosítja egy diagnosztikai beállítás megőrzési időtartamát?
Az új adatmegőrzési szabályzat a módosítás után gyűjtött naplókra lesz alkalmazva. A szabályzatmódosítás előtt gyűjtött naplók nincsenek hatással.
Mennyibe kerül az adataim tárolása?
A tárolási költségek a naplók méretétől és a választott megőrzési időtartamtól függenek. A bérlők becsült költségeinek listáját, amely a létrehozott naplókötettől függ, tekintse meg a tevékenységnaplók tárterületméretét (ebben a cikkben).
Mennyibe kerül az adatok streamelése Azure Event Hubs?
A streamelési költségek a percenként kapott üzenetek számától függenek. A költségek kiszámításának módjáról és az üzenetek számán alapuló költségbecslésekről további információt a tevékenységnaplókhoz tartozó Event Hubs-üzenetek című témakörben talál (ebben a cikkben).
Hogyan integrálni az Intune auditnaplóit a SIEM-rendszeremmel?
Az Azure Monitor és az Event Hubs használatával streamelheti a naplókat a SIEM-rendszerbe:
- Streamelje a naplókat az Event Hubsba.
- Állítsa be a SIEM-eszközt a konfigurált Event Hubs szolgáltatással.
Jelenleg mely SIEM-eszközök támogatottak?
Jelenleg a Splunk, a QRadar és a Sumo Logic (új webhely megnyitása) támogatja az Azure Monitort. Az összekötők működésével kapcsolatos további információkért tekintse meg az Azure monitorozási adatainak streamelése az Event Hubsba külső eszköz általi felhasználás céljából című témakört.
Hozzáférhetek az adatokhoz Azure Event Hubs külső SIEM-eszköz használata nélkül?
Igen, A naplók egyéni alkalmazásból való eléréséhez használhatja az Event Hubs API-t.
Milyen adatokat tárol a rendszer?
Az Intune nem tárol a folyamaton keresztül küldött adatokat. Az Intune az adatokat az Azure Monitor-folyamathoz irányítja a bérlő felügyelete alatt. További információért tekintse meg az Azure Monitor áttekintését.
Kapcsolódó tartalom
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: